概要:1.什么是Cmdshell?是如何被黑客利用的?2.如何清除双关联木马?★必备知识1.什么是Shell?Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。2.什么又是CmdShell?CmdShell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)CmdShell3.CmdShell是如何被黑客获取的?CmdShell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即CmdShell)。4.什么是双关联木马?木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木
了解黑客的木马后门清除双关联木马(一),标签:电脑安全知识,个人电脑安全,http://www.laixuea.com1.什么是Cmdshell?是如何被黑客利用的?
2.如何清除双关联木马?
★必备知识
1.什么是Shell?
Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。
2.什么又是CmdShell?
CmdShell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)
CmdShell
3.CmdShell是如何被黑客获取的?
CmdShell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即CmdShell)。
4.什么是双关联木马?
木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木马运行,导致用户无法完全删除。
木马在运行后生成两套完全相同的程序
【略突出】案例
时间:2008年2月18日
负责工程师:孙佳兴(老孙)
地点:青岛园林建设科技有限责任公司
现场:公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术,绕过了防火墙和杀毒软件,对服务器数据进行了远程植入木马,并窃取了大量高价值产品信息。
【略突出】分析案例
听完了青岛园林建设科技有限责任公司管理员的描述后,工程师老孙详细看了公司的服务器配置:
服务器配置:主服务器为Window2003SP1操作系统(补丁已经更新至2月11日最新微软安全公告提示)
安装组件:IIS6.0(WEB网页服务)
MSSQL2003(数据库)
ISAServer2004(微软的企业级防火墙)
Prowinde1.7.41(条件限制类杀毒软件)
然后,他基本确认了黑客的攻击手段,做出如下分析:
服务器采用企业版杀毒软件和入侵防火墙,限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明:他采用的是溢出式攻击,并获取了高于administrators的权限。
小知识
什么是溢出式攻击?
溢出是黑客利用操作系统的漏洞,专门开发一种程序,加上相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,等于你的电脑就是他的了。
听完工程师老孙的分析后,公司网络管理员非常迷惑,到底黑客如何利用CmdShell下的远程控制进行传输,并进行后门植入的呢?
【加细框】下段可以学到:黑客实现远程传输的两种方法
老孙分析着残留的文件,基本推测出了黑客的攻击方式:
第一种方法:利用Echo命令写ASP后门。
小知识
Echo命令小解
主要功能:简单点说就是开启或关闭批处理命令行在屏幕上的显示,属于内部命令。内部命令就是常驻于内存的命令,在任意路径下输入均可执行。
目的:一是避免不需要的命令显示来干扰屏幕;二是在屏幕上给用户显示提示信息。
此方法原理:由于目标主机上已经安装了IIS服务,黑客在拥有CmdShell的情况下,利用Echo命令制造一个允许传输的ASP后门木马,来管理被入侵的计算机。
Tag:电脑安全,电脑安全知识,个人电脑安全,电脑学习 - 电脑安全