了解黑客的木马后门清除双关联木马(一)

了解黑客的木马后门清除双关联木马(一),标签：电脑安全防护,个人电脑安全,http://www.5ijcw.com
1.什么是Cmdshell？是如何被黑客利用的？

　　2.如何清除双关联木马？

　　★必备知识

　　1.什么是Shell？

　　Shell的中文意思为“壳”，它管理着用户与操作系统之间的交互，可以把它理解为一个命令解释器。它接收用户命令，然后调用相关的应用程序来执行。

　　2.什么又是CmdShell？

　　CmdShell在这里可以称做系统后门，是黑客利用溢出或其他手段，获取目标计算机命令行的远程控制的权利。（Cmd即：用户在运行中输入“cmd”出现的命令行：如图1）

　　

　　CmdShell

　　3.CmdShell是如何被黑客获取的？

　　CmdShell大多是当用户计算机存在漏洞时，黑客利用攻击工具进行远程进攻，导致计算机崩溃，从而丢失系统的控制权限（即CmdShell）。

　　4.什么是双关联木马？

　　木马在运行后生成两套完全相同的程序（名称和大小不一定一样），文中的“wlloginproxy.exe”程序（图2）和“services.exe”程序会互相扫描（每0.1秒扫描一次），如果发现对方没有启动或者运行时错误，其中一个木马程序会将自身复制，从新制造一个新的木马运行，导致用户无法完全删除。

　　

　　木马在运行后生成两套完全相同的程序

　　【略突出】案例

　　时间：2008年2月18日

　　负责工程师：孙佳兴（老孙）

　　地点：青岛园林建设科技有限责任公司

　　现场：公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术，绕过了防火墙和杀毒软件，对服务器数据进行了远程植入木马，并窃取了大量高价值产品信息。

　　【略突出】分析案例

　　听完了青岛园林建设科技有限责任公司管理员的描述后，工程师老孙详细看了公司的服务器配置：

　　服务器配置：主服务器为Window2003SP1操作系统（补丁已经更新至2月11日最新微软安全公告提示）

　　安装组件：IIS6.0（WEB网页服务）

　　MSSQL2003（数据库）

　　ISAServer2004（微软的企业级防火墙）

　　Prowinde1.7.41(条件限制类杀毒软件)

　　然后，他基本确认了黑客的攻击手段，做出如下分析：

　　服务器采用企业版杀毒软件和入侵防火墙，限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明：他采用的是溢出式攻击，并获取了高于administrators的权限。

　　小知识

　　什么是溢出式攻击？

　　溢出是黑客利用操作系统的漏洞，专门开发一种程序，加上相应的参数运行后，就可以得到你电脑具有管理员资格的控制权，等于你的电脑就是他的了。
听完工程师老孙的分析后，公司网络管理员非常迷惑，到底黑客如何利用CmdShell下的远程控制进行传输，并进行后门植入的呢？

　　【加细框】下段可以学到：黑客实现远程传输的两种方法

　　老孙分析着残留的文件，基本推测出了黑客的攻击方式：

　　第一种方法：利用Echo命令写ASP后门。

　　小知识

　　Echo命令小解

　　主要功能：简单点说就是开启或关闭批处理命令行在屏幕上的显示，属于内部命令。内部命令就是常驻于内存的命令，在任意路径下输入均可执行。

　　目的：一是避免不需要的命令显示来干扰屏幕；二是在屏幕上给用户显示提示信息。

　　此方法原理：由于目标主机上已经安装了IIS服务，黑客在拥有CmdShell的情况下，利用Echo命令制造一个允许传输的ASP后门木马，来管理被入侵的计算机。

　　第二种方法：利用CmdShell结合网页进行远程传输。

　　由于黑客在入侵完成后删除了大部分日志，老孙推测还有另外一种方法也可以实现入侵：利用“开始→运行”，输入“cmd”打开命令提示符，输入“start”命令，将木马自动下载到网页缓存中。

[1] [2] [3]  下一页

上一篇：开机情况下查杀运行状态下的EXE、DLL病毒