网络电影引发的后门及解决办法

新客网 XKER.COM 2007-03-24 来源：收藏本文

　　3. 木马下载的地方与控制者无关，控制者是入侵了某个网站而放上去的木马

　　前两种情况对我有利，因为这样一来，所有的数据流都是从控制者那里直接来的，如果控制者的WEB服务存在漏洞，我便可以反向入侵他，如果是最后一种，那只能另外想办法，毕竟能被入侵的网站应该也不会是什么防御措施很好的网站，我同样可以有机会入侵。

　　为了确认控制者是不是用自己机器做猎杀潜艇，我直接在IE浏览器里输入http://入侵者IP/RMVB.exe，还记得前面IRIS监听到的数据吗？这个就是木马的下载地址。过了一会儿，IE弹出了下载窗口，控制者符合前两种情况！我马上开了扫描器，发现控制者开了4个端口：80、135、139、8000，WEB服务为IIS 5.1，扫描不到一般漏洞。

　　幕后黑手终于浮上了水面，现在剩下的事情，就是入侵技术的对抗了。

　　四. 通过IIS写权限进行反向入侵

　　根据舍友提供的信息得知入侵者是通过卡盟这款P2P电影共享工具实现的电影种马，如此一来，受入侵者危害的人数可能会很多，必须想办法阻止他才行！但是根据X-Scan的扫描报告推测，入侵者的机器是打了所有补丁的Windows XP系统（由IIS版本号可以推测，Win2000为5.0，XP为5.1，2003为6.0），只开了很少的端口，灰鸽子开的端口没法入侵，也不可能进行NetBIOS和IPC$入侵，那么唯一可以突破的可能性只有WEB服务了，可是用 IE打开却是“该站点未配置”提示，显然入侵者做WEB服务只是为了挂个木马文件让受害者下载，上面不可能存在论坛之类可以突破的东西，难道只能放弃？我不甘心，查阅一些关于IIS的技术资料后发现一个重要的术语：“IIS写权限”！

　　这里我简单描述一下什么是“写权限”，它是由当年引发大漏洞的WebDAV组件提供的服务器扩展功能，用于直接向服务器目录写入文件，为管理员执行某些远程操作提供了方便，但是同时也给服务器带来了安全隐患，如果运气好，一台没有进行配置的IIS是开放匿名写权限的，入侵者可以向WEB目录写入一些带有危害的文件，例如WebShell脚本等。

　　首先测试入侵者有没有专门配置过IIS，如果WebDAV被关闭，那么一切都没戏了……打开Telnet进入对方80端口，输入：

　　OPTIONS / HTTP/1.1

　　Host: www.s8s8.net

共8页: 上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页

上一篇：保护系统　从防范IP泄漏开始！下一篇：终端入侵防护解决方案七大纪律

【收藏】【评论】【推荐】【投稿】【打印】【关闭】