狭路相逢勇者胜——揪出他人木马独占肉鸡资源
网络安全
网络内苦苦地寻找,才能捕获到一台含有漏洞的主机,但是万万没想到在自己“捷足先登”之后,又有一个黑客入侵进来,与你同时掌控着这台“来之不易”的肉鸡,最后导致资源超载该怎么办?遇到这种情况,就要想办法揪出隐藏在主机内部的他人木马,然后独占此肉鸡!
小知识:当入侵者拿到远程主机的管理员权限,并且可以随意远程操控该机器,像这样被攻占的主机,我们把它称之为“肉鸡”。
找寻与他人“同享”的肉鸡
强大的灰鸽子反弹木马,是你在遥控肉鸡操作时最好的利器。因此,这里我们就以黑客广泛使用的鸽子木马为例,讲述独占自己肉鸡的方法。
首先“打开”控制自己所有肉鸡的灰鸽子客户端,然后在其出现的操作界面内,将右侧自动上线的“加号”标签展开,会层叠出现目前可以遥控的所有肉鸡,如果想显示这些肉鸡的详细信息 ,请选择“命令广播”标签,编辑区就会逐个呈现出每台被控机器的相关信息(如图1)。
里面有肉鸡的IP地址、地理位置、系统版本,以及远程电脑的具体名称等,如果在这里想查询哪台肉鸡是与其他入侵者同享,请事先将备注标签里面的内容信息改为自己统一的标志名称。这样当入侵者和你控制相同的肉鸡电脑时,备注信息就会自动改为其他的数字信息(如图2),选中的这台肉鸡就是已经在与其他人共同分享的机器。
清除他人木马
既然现在知道了哪台肉鸡被其他入侵者所控制,这里要做的就是登录该“被控主机”,然后清除他人的木马。
先选中备注被修改的肉鸡信息,然后在上方“连接密码”标签内,输入自己登录到远程主机的口令密码。操作完毕后,单击后面“连接”按钮,即可获得该被控主机的所有“盘符”信息。然后再依次选择“控制命令→服务管理”标签,在所出现的编辑区内,单击“查看服务”按钮,区域就会显示出该肉鸡的所有系统服务信息。
按照“状态”标签为停用,启动类型为自动的内容,找到符合该条件的服务类型(如图3),它就是旁人所植入的木马服务。
小提示:在找到木马服务的描述信息中,还可以清楚发现伪装系统升级服务所暴露出的“马脚”部位,如Windows所提供的系统服务描述,最后面都是以中文空心句号来结尾,而在该描述中,却是英文实心句号收尾,前后两者“差之毫厘”,但却“谬以千里”,按照描述系统的严格性,足以证明它就是被人所植入的木马服务。
在它上面的“横条”位置,单击“右键”按钮,选择“删除服务”选项,或者直接单击下方“删除服务”按钮,就会立即将此“木马服务”删除,解除你与它人竞争肉鸡的压力,从此独占肉鸡。