网络电影引发的后门及解决办法
新客网 XKER.COM 2007-03-24 来源: 收藏本文
由此推断出,这个程序是以服务方式启动的,而且对网络的连接行为应该是为了进行某些重要的操作,只是由于机器上的天网防火墙、内网NAT转换和监视级别过高的Modem防火墙三个防护措施一起阻挠的缘故未能实现,难道是反弹木马?马上去找资料,结果发现这个木马就是大名鼎鼎的灰鸽子!
因为已经监视到了文件行为,因此不怕这个木马还会有什么残留祸害,但是为了捕获幕后黑手,我只能再冒一次险了,在Modem里设置NAT规则的IP映射(RDR)全部端口到我的IP,再次开启IRIS监听数据,我的目的只有一个,就是获取控制者的IP,因为灰鸽子的“自动上线”报告功能必须让控制端监听8000端口,然后服务端通过解析域名获得控制端IP,再连接控制端实现自动上线,这样一来控制端就不需要自己去连接服务端了。但是这种方法有一个弱点就是会暴露控制者自身IP,如今我就是要通过这方法揪出控制者!
网络行为:
1. 连接 http://xxx.yeah.net
2. 返回带有域名对应IP的HTML转向数据
3. 连接该IP的8000端口
4. 建立连接
5. 开始数据传输
在数据传输开始的时候,我刚要拔掉网线,网络又断流了……郁闷,这个小马害得我们好惨!
其实在域名解析后,控制这的IP就已经暴露了,继续让木马工作的原因是为了确认控制者在不在线。既然在线,那就好办了,因为那些电影是打开一个固定IP的网页木马的,由此可推断控制者必定属于这三种情况之一:
1. 控制者的IP是静态固定的,而且开着WEB服务以便让受害者下载木马
2. 控制者IP是动态的,但是通过动态更新灰鸽子调用的域名来完成同步更新下载木马的IP,这样也必须开着WEB服务
因为已经监视到了文件行为,因此不怕这个木马还会有什么残留祸害,但是为了捕获幕后黑手,我只能再冒一次险了,在Modem里设置NAT规则的IP映射(RDR)全部端口到我的IP,再次开启IRIS监听数据,我的目的只有一个,就是获取控制者的IP,因为灰鸽子的“自动上线”报告功能必须让控制端监听8000端口,然后服务端通过解析域名获得控制端IP,再连接控制端实现自动上线,这样一来控制端就不需要自己去连接服务端了。但是这种方法有一个弱点就是会暴露控制者自身IP,如今我就是要通过这方法揪出控制者!
网络行为:
1. 连接 http://xxx.yeah.net
2. 返回带有域名对应IP的HTML转向数据
3. 连接该IP的8000端口
4. 建立连接
5. 开始数据传输
在数据传输开始的时候,我刚要拔掉网线,网络又断流了……郁闷,这个小马害得我们好惨!
其实在域名解析后,控制这的IP就已经暴露了,继续让木马工作的原因是为了确认控制者在不在线。既然在线,那就好办了,因为那些电影是打开一个固定IP的网页木马的,由此可推断控制者必定属于这三种情况之一:
1. 控制者的IP是静态固定的,而且开着WEB服务以便让受害者下载木马
2. 控制者IP是动态的,但是通过动态更新灰鸽子调用的域名来完成同步更新下载木马的IP,这样也必须开着WEB服务
上一篇:保护系统 从防范IP泄漏开始! 下一篇:终端入侵防护解决方案七大纪律
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐