创建隐藏账号 管理员看不见
安全阵线
国庆期间,国内一批网站被黑,首页被黑客挂上网页木马(从操作手法来看,是同一个挂马集团),更有不少网站首页直接被修改为色情页面。黑客是如何在短短的一两天内入侵那么多的网站的呢?合理的解释就是:黑客并不是在国庆节期间入侵的网站,而是之前就已经断断续续攻陷了服务器,并留下了后门,然后在国庆期间作恶。
后门有两种:一种是木马;另一种是在服务器中建立一个完全隐藏的账号。安装木马以前我们讲过很多次了,下面我们来讲讲如何在服务器中建立隐藏账号:
Step1:点击“开始”菜单→“运行”,输入“cmd”运行“命令提示符”,输入“net user hacker$ 123456 /add”并回车,这样黑客就在系统中建立了一个用户名为hacker$、密码为123456的隐藏账号。
但这样的隐藏账号并不安全,虽然服务器管理员在“命令提示符”中输入“net user”命令无法看到该账号(图1),但是在“计算机管理”中还是能够发现该账号的,因此账号还需要进一步隐藏。
Step2:在“运行”中输入“regedt32.exe”,依次展开HKEY_LOCAL_MACHINE\SAM\SAM,再点击右键选择“权限”,在“SAM 的权限”窗口中选择当前登录的账号,例如administrator,在下方的权限栏中勾上“完全控制”,再点击“确定”。
然后在“运行”中输入“regedit.exe”,依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\hacker$,点击“hacker$”,在“Users”处选中“000003ED”,右键将其导出另存为“3ed.reg”,将“000001F4” 导出另存为“1f4.reg”, 将“hacker$”导出另存为“hacker.reg”。
Step3:用记事本打开“1f4.reg”,将“F”后面的内容复制下来,替换3ed.reg中 “F”内容(图2)。最后,进入“命令提示符”,输入“net user hacker$ /del”将建立的隐藏账号删除,再将hacker.reg和3ed.reg导入注册表即可。
这样操作后,隐藏账号不仅无法在“命令提示符”中找到,也不会在“计算机管理”中显示,除非管理员检查注册表或者使用隐藏账号检测工具(例如PowerTool、影子管理员检测工具等),否则是很难发现隐藏账号的存在的。