|
|
先谈谈怎样发现您的电脑被入侵。
那些“病毒”文件都存放在D:\winnt\system32\hack\下,有nc.exe、opentelnet.exe等。明显这些不是病毒,而是黑客工具,若您电脑有这种情况,说明电脑被黑客入侵了。
进入了D:\Documents and settings\,发现除了使用的Administrator用户和默认的ALL USERS文件夹之外,还多出了一个Justme文件夹。这类黑客都是先给系统添加一个合法用户,再打开服务器的终端服务登入,最后把这些服务器作为跳板来入侵别人的。打开services.msc,若发现服务中多了一个Terminal Services。则您的电脑也被入侵.
拒绝黑客
从服务器管理中删除这个Justme用户后,开始查找黑客可能留下的后门。运行cmd.exe并输入netstat -an,发现在一些正常的端口中多出了一个可疑7777端口。用TELNET去连接它,返回了一个指向D:\winnt\system32\hack\的路径,并且随意输入一个命令它都能够正确执行。看来这的确是黑客留下的一个后门,那它使用的是哪个程序呢?下面我要查看系统的进程。
在进程管理中,看到了一个十分不愿意看到的进程——svchosts.exe。它无法手工结束,每次结束的操作都会弹出一个拒绝访问的提示框。看来是我目前的权限不够,那么这个比Administrators权限还要高的进程一定是以System权限运行的。当我再次打开service.msc时,发现一个叫 Kent的服务,所执行的文件就是这个svchosts.exe。于是马上终止了这个服务,并找工具删除了它。就这样,可恶的进程和它的7777端口一起消失了。再仔细地通查了注册表和服务的DLL,直到确定全部安全为止。
这个黑客是怎么进来的呢?我看了看安装过的安全补丁,发现只有微软 MS-03049号安全公告中的补丁未打上,并且Windows事件查看器里也有WORKSTATION服务异常的记录。这下可以确定黑客是通过MS- 03049的安全漏洞进入了表弟的电脑。接下来的事情就是打补丁,安装并开启防火墙。
骚扰黑客
从hack文件夹里复制了 nc.exe到C盘,然后把其他文件删除。运行cmd.exe后.在C:\下新建了一个文本文件haha.txt,写上一些话后保存。在cmd窗口中输入 “c:\nc.exe -vv -L -p 7777 < c:\haha.txt”,看到屏幕显示了“listening on [any] 7777 ...”而把这个cmd窗口放在那里,只时不时地注意一下动静。这是因为,黑客一旦发现失去了这台电脑的控制权,就会利用他所布置的后门再次入侵。利用这个心理,骚扰黑客.
|
|
窥视卡
雷达卡
成长值: 49815
发表于 2011-6-29 16:25:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2011-7-13 15:00:04
发表于 2011-7-14 12:00:13