如何防服务器后门
作者:小骇 日期:2009-03-24
从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原。但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门。
1、放大镜后门
放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。
通常情况下,攻击者通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:
(1).构造批处理脚本
@echo off
net user gslw$ test168 /add
1、放大镜后门
放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。
通常情况下,攻击者通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:
(1).构造批处理脚本
@echo off
net user gslw$ test168 /add
对sethc.exe后门的解决办法~
作者:小骇 日期:2009-03-19
打开你的windows2003服务器3389远程管理客户端,然后连续按5下shift键。看看有什么东西!直接调用的粘置窗口的程序sethc.exe,很多黑客会CMD.exe文件来替换此文件的方式给自己留后门,一般该文件都具有users组的权限,现在的IDC在机器原始配置的时候都很少注意权限分配,再加上一些管理员对这些很陌生,所以很多人忽视了这个地方。
解决办法:
打开你的system32目录,寻找sethc.exe文件,默认情况,管理员是不能编辑此文件的,因为默认权限是继承不允许的。所以,在改文件上打开右键,选择“属性”,选择“安全”选项卡,再点击“高级”按钮,把“从父项继承……”前面的对勾去掉,然后确定一下。接下来有两种方式:一是删除所有组的权限,就是大家都用不了该文件,另一种是添加一个everyone组,然后设置该组的所有权限都是“拒绝”,效果是一样的,反正就是大家都玩不了。
还有另外一个位置/%systemroot%/system32/dllcache目录下,也使用同样的方法设置sethc.exe.
这样你的服务器就至少在这个文件生出现什么问题了。
解决办法:
打开你的system32目录,寻找sethc.exe文件,默认情况,管理员是不能编辑此文件的,因为默认权限是继承不允许的。所以,在改文件上打开右键,选择“属性”,选择“安全”选项卡,再点击“高级”按钮,把“从父项继承……”前面的对勾去掉,然后确定一下。接下来有两种方式:一是删除所有组的权限,就是大家都用不了该文件,另一种是添加一个everyone组,然后设置该组的所有权限都是“拒绝”,效果是一样的,反正就是大家都玩不了。
还有另外一个位置/%systemroot%/system32/dllcache目录下,也使用同样的方法设置sethc.exe.
这样你的服务器就至少在这个文件生出现什么问题了。
如何禁止服务器新建帐号
作者:小骇 日期:2009-03-18
当黑客入侵后,除了安放木马远程控制外,还往往会对入侵主机上的帐号作一番手脚,如新建并隐藏管理员帐号,或者克隆管理员帐号权限等。因此揪出帐号中的阴谋,管理本机的帐号成了网络安全的重中之重!
一、关闭电脑大门,禁止新建用户
在入侵了一台电脑后,黑客一般先会使用“net user用户名 密码/add”命令新建一个用户,并用“net localgroup administrators 用户名/add”命令,将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录,并拥有管理员权限了。如何才能防止用户添加新用户呢?
可以看到在黑客添加新用户的过程中,net命令是必不可少的,如果让黑客无法运行net命令的话,也就间接的阻止了黑客新建用户。net命令的执行文件位于系统目录“c:\windows\system32”下,文件名为“net.exe”,我们只要将此文件重命名,改为如“netno.exe”等。当黑客入侵后添加新用户时,就会显示命令错误,从而无法新建用户了(如图1)。
二、陌生人不得入内,禁止新建用户登录
一、关闭电脑大门,禁止新建用户
在入侵了一台电脑后,黑客一般先会使用“net user用户名 密码/add”命令新建一个用户,并用“net localgroup administrators 用户名/add”命令,将新用户添加到Administrator管理员组中。这样黑客就可以用添加的用户名登录,并拥有管理员权限了。如何才能防止用户添加新用户呢?
可以看到在黑客添加新用户的过程中,net命令是必不可少的,如果让黑客无法运行net命令的话,也就间接的阻止了黑客新建用户。net命令的执行文件位于系统目录“c:\windows\system32”下,文件名为“net.exe”,我们只要将此文件重命名,改为如“netno.exe”等。当黑客入侵后添加新用户时,就会显示命令错误,从而无法新建用户了(如图1)。
二、陌生人不得入内,禁止新建用户登录
