作品发布     邀请码    设为首页  收藏 

当前位置:文章提权渗透 → 文章内容 >> 一次WinRoute后门攻防实况


一次WinRoute后门攻防实况

更新时间:2012-2-18 16:11:23   作者:华中帝国整理  来源:华中帝国
我是通过Windows 2000和winroute的代理方式上网。这两天,代理服务器总是出现一些怪现象,运行程序好像很缓慢,而且还会自动重启。难道是中了病毒?还是中了木马?不管怎么样,先去看看再说吧。 来到机 ...

    我是通过Windows 2000和winroute的代理方式上网。这两天,代理服务器总是出现一些怪现象,运行程序好像很缓慢,而且还会自动重启。难道是中了病毒?还是中了木马?不管怎么样,先去看看再说吧。

    来到机房,先把网线拔去。重启后,运行杀毒软件,杀了一遍,并没有发现病毒。随后插上网线,打开IE浏览器,这时奇怪的事情发生了,怎么地址栏里有一些莫名其妙的网址?难道有人用过这台电脑?我觉得事态严重了,可能中了木马。

    我起身去倒了杯水,准备一场大战。当我回来的时候,浏览器居然自动打开了 “梦幻西游”的网站,正在下载客户端(还新装了一个下载软件),它居然想用我的代理服务器来挂机打网络游戏!

    既然知道了原因,我想总可以解决的。所以也并不着急。出于报复心,我就先让他下载。过了一会儿,当下载到90%的时候,我点了取消。然后又把网络断了,打开了木马克星,一扫描。发现被安装了Remote administrator。把木马杀掉后,我又通过搜索文件的方法将这一个星期内安装的软件全部删除。但这样还是不能解决问题啊,关键是要找出被攻击的漏洞。

    因为这台电脑只是用来做代理服务,winroute 就开放了SMTP,POP3 和DNS服务。难道是Windows 2000的设置上出了问题?根据一些安全设置的资料,我禁用了很多不必要的服务。打上最新的补丁,将Guest账户禁用,将管理员账户修改密码,并改了名,将磁盘的读取权限也做了设置,还做了一些本地安全策略。这个就不多讲了,大家可以去查阅资料。经过一阵忙活,认为这样总可以高枕无忧了。开启代理服务,让它继续工作。

    但好景不长,一个星期六的下午,我来到机房查看设备。当我打开代理服务器的显示器的时候,让我绝望的一幕出现了。居然又有人在代理服务器上下载梦幻西游!原来前几天的平静是入侵者不想让我发现,实际上问题并没有解决。他认为星期六没人了,可以为所欲为,看来他的目的就是想利用我的电脑挂机。

    我仿佛看到了黑客网络的那端耻笑着我。到底哪里出问题了呢?补丁刚打过,应该没什么漏洞,入侵者到底是利用哪个端口进来的呢?转到DOS目录下,输入Netstat -a 查看了一下端口,除了正常的几个,发现有一个3129端口被人在使用。

    我只记得winroute 里的代理用到了3128端口,难道这个3129端口也和winroute 有关?查看了一下资料,发现木马Master Paradise开放3129端口。而且这台电脑一般就运行winroute 服务,想到这里马上打开winroute 控制界面,在里面仔细搜索了一番,果然发现在“设置→高级”中有一项 “Remote Administration”,它默认就允许远程控制,而默认开放的端口恰好是3129。

    原来是winroute 留下的后门。因为很多资料对winroute 的设置有详细的介绍,但远程控制控制台的功能讲得比较少,所以大家也都不是很在意这个地方。但它确实可以被一些木马所利用,而且危害非常大。在这里想提醒各位使用winroute的朋友,最好把这一功能去掉,以绝后患。病因终于找到了,我平时也不怎么用远程控制,就将这一选项去掉。然后在像刚才那样做了一番设置,终于把入侵者的这扇门堵上了。

责任编辑:华中帝国        



本文引用网址: 

一次WinRoute后门攻防实况的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码