|
 | 作者: lama [lama]
 论坛用户 |
登录 |
| 今天上午,金山网镖又发出难听的放屁样的声音 一看,有个家伙在用unicode攻击我(好像这么拼吧) 看看地址,韩国的 没理他,过了一会,变成三个ip同时攻击我 我水平有限,但是要要反攻 xscan扫了一下,居然有3389端口 没有密码,也连上试一下 韩文的win2000,没输入法漏洞 没戏了 看下一个地址,安徽 3389,guest没密码 连上 登陆成功,那家伙应该还在上面,看看有管理权限用户名有7个 管理员,guest,admirxx,另外还有三个系统用户,还有一个伪装系统用户IUSER_WWB 我等 注销。 过了一会儿,没人攻击我了 再登陆 NND中计了,启动组里面有个TMP.exe 不知道有什么用, 已经执行两次了 7456 决心干掉这几个坏蛋 上了一个免费信箱 把可恶的tmp.exe寄回我的临时信箱,以后再分析它 删除自定用户,有些鲁莽,分析一下先 管理员,一定不能改 伪装系统的那个IUSER_WWB删 admirxx,好像没登录过,我的文档都没有 不对,有个friend目录很奇怪,没这个用户 一看,就是admirxx的 里面什么东东都有,都是攻击工具 坏蛋就是他,删 只留几个系统的 GUEST加上密码(当然只有我知道了) 记录我还不会清掉,先这样吧, 管理员应该感谢我了 还有一个com.bat,时间最晚 调用com.com好几次 一定不是好东西 暂时不管我的事 留给管理员清吧 走人 |
| 地主 发表时间: 10/23 17:37 |
| 回复: lama [lama] 论坛用户 |
登录 |
|
下午下班了,现在在肉鸡上继续写 总结一下: 虽然没抓住行凶的歹徒, 但是抢了他的肉鸡 把他从肉鸡上赶出去 也算解解心头的怨气 也许他还有别的后门,再把我赶出去 到时候再说 经过一番整理,堵了几个漏洞 可是也有些问题,还请高手指教 1,怎么去掉我登陆的记录呢? 2,怎么去掉输入法漏洞呢? 我是guest,在administrarors组里面,但是删了几个输入法以后没有效果,郑码等还是可以用 试着用输入法漏洞,还是可以进来的(也许他开始就是这么进来的) 3,原来的入侵者,加装了scoket5(就是com.bat)现在被我删了,服务也停了 他还能继续用么?怎么彻底删除呢? 4,怎么保证我在肉鸡上不会和真正的管理员遇上呢?也就是他了操作时候我怎么知道呢?为逃跑做准备 |
| B1层 发表时间: 10/23 21:52 |
 | 回复: magic [buaaytt]  论坛用户 |
登录 |
|
1、要看你是通过那种方式进入肉鸡的,不同的服务的日志存在不同的地方 2、去掉输入法漏洞很简单,打上补丁就行了 3、sksockserver --remove,就可以删掉代理服务,应该有图形界面的控制方式吧 4、可以用net user看看管理员什么时候登陆的,如果最后一次登陆时间离现在很近,那么很有可能就在线。如果是一台域控,也可以用query user看看有哪些用户,在管理工具里面也可以看到。 |
| B2层 发表时间: 10/23 23:20 |
| 回复: lama [lama] 论坛用户 |
登录 |
|
多谢指点能,qq联系 |
| B3层 发表时间: 10/24 11:45 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 难道是我命好,肉鸡手到擒来