黑客高手速来拿分（分不够的话另外再加）(100分)

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #1

小弟的机器上安装有WIN2K SERVER ，近期怀疑有人在我的机器上做了手脚（通过INETNET过来的）
想问各位高手以下问题：
1。系统有无TELNET的日志，如何知道TELNET 上执行了什么命令。
2。已知机器上有一个SOCKET 5的代理，如何找出来。该代理现在并没工作，NETSTAT -A 看不出什么不对的地方。
3。SERVER有一个类似PCANYWHERE 的服务，请问如何看日志
内网的一台机器上的攻击记录的是小弟的IP地址，真是苦！
只要对我查出真正的肇事者有帮助，小弟都有分数献上。

 

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #2

各位高手，分不够再加。上面三问，每问100分。求你们帮帮我吧

 

S

sun77wind

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #3

试试事件查看器，看看系统启动的服务
建议安装防火墙，如天网
题外话：
W2k Server的安全漏洞很多，尤其是IIS的，如果你没有打补丁的习惯
还是不要装的好

 

B

bbboy

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #4

首先看看你的计算机进程,有没有不认识的或者不知名的进程在运行.
其次看看系统启动部分(包括注册表),有没有什么不明程序要运行
还有,找一个断口扫描的,看看你的系统有那些断口开放着,有没有什么不明断口.
最后,安装一个防火墙,我不觉得天网很好,前些日子我用过一个国外的防火墙(名字忘了),
功能特别强大.不过天网有一个在线检测功能可以试一试.

 

光

光子

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #5

我对常见黑客程序略为有点研究，可以没有使用过Windows 2000，所以只能随便说说。
1。系统有无Telnet日志，这个你查查Win2K的手册，应该可能会有结果。
2。你的机器上有Socks5代理，那么代理服务器运行时肯定侦听某个TCP端口，比如1080，
; ;如果netstat -a看不出，那么就是没有启动了。
3。你的类似PCAnyWhere的服务器的日志，也许只有你自己研究了，除非你告诉大家究竟是
; ;什么服务器，还要有用过这个服务器的高手到这里来。

最后，我建议你安装一个防火墙，许多防火墙都有记录所有访问本机的远程机器的IP地址、
使用协议、端口号码等功能，有的防火墙能够同时记录是与本地机器上面的哪个程序发生了
关系，有了这些，你就彻底清楚了。

当然，黑别人的机器也不是那么容易的事情，事实上许多“黑客”仅仅是进入没有上锁的门
里面顺手牵羊，或者敲敲玻璃做的门窗而已，不要太惊慌。

 

狼

狼牙

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #6

1.
wint/system32/logfiles/日志文件，可详细查看。
2.
用国内著名黑客软件流光一扫，就可以知道，是否有sock5代理。
3.
依据上文所提，似乎是有人利用你当肉鸡作跳板，你先该检查一下win2k中是否有非法的
用户，如果有，干掉；其二，查看:c:/inetpub/wwwroot/scripts下是否有ccc.exe等
可执行文件，如果有，全部清除，并打上1,2,3三个补丁，（最好彻底删除inetpub目录
安装至其他地方）；其三，安装天网或norton防火墙，可以有一定的作用；其四，用
superscan扫一下，看是否有其他不正常开放的断口，比如99，1433,终端服务客户端
等等，如果有，查看进程，关之；其五，pcanyway的破坏性该可以在自己的控制之下，
尝试装一个金山毒霸II,可以破获国内比较多的木马软件，像网络神偷。；其六，ftp权限
的控制。。。。。太多了。。

 

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-20

• #7

谢谢各位的解答.
关于问题1,C:/WINNT/system32/LogFiles下的日志早就看过,上面只是FTP 和 WEB请求
的一些记录.本机没开IIS 服务.所以也没必要去看.但有关TELNET 的记录就不知道放在那,
还望各位高手指点一二.
关于问题2,现已经找出那个程序了.是通过启动时自动加栽的,以上提到看注册表的将有分
献上.光子说的对用STATE -A 就可以了,不需要是端口扫描仪的.(TO 光子:那人不但打破玻
璃还打破了玻璃里面的宝石).
关于问题3.我说的那个服务是WIN2K SERVER 自带的一个服务,名字给忘了.我没下栽过它
的客户端,所以运行的样子我也说不清.
还有我向来不喜欢防火墙
问题继续.

 

房

房客

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-21

• #8

1。流光扫
2。IIS有LOG
3。可疑时间防火墙监视，然后反查
4。

 

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-09-23

• #9

是不是2K没有TELNET 的日志?

 

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-10-15

• #10

各位的问答不是很满意,分数还是分了吧.

 

L

li2

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-10-15

• #11

多人接受答案了。