我被一个学生黑了。。

cctv305 · 发表于 2007-6-29 09:22:00

昨晚上课的时候..突然发现任务管理器里多了几个进程.怎么回事啊!!我动没动主机.没开任何程序.怎么会多出什么"ping.exe""自动登录.exe"
  靠.是怎么回事呢!  打开科来6.3技术交流版. 当时没发现什么.过了3分钟...突然发再有几个不明的数据包.同时我打开"任务管理器"发现又多了一个进程"TTplayer.exe".啊.不是吧.这个是千千静听的进程.我没开这个程序.是怎么回事呢..... 再看科来的那几个数据包.发送者是内网IP:
192.168.188.51.(发送上来的包没抓到...)
还发现了几个包是访问以下这几个网站:http://hackbase.com http://46603.ys.168.com  http://www.baidu.com(当时没注意他所开的这几个网站)

立即用监控软件进行监控(上课平时用的多媒体教室之类的软件,可以看到他的桌面.并且在做什么)当时发现他在开几个软件.
1.Recton 2(远程控制) 这个软件听说是个远程控制软件,具体的没用过.
2.NTscan.exe
3.TT浏览器(浏览的网页是以上几个网页:黑客基地、黑客基地的下载网站、这个就不用说啦）

监控了10分钟左右，一共他发起了3只连接。科来都提示有同样的数据包在传送（晚一点我自己测试Recton时上传数据包）
分别连接到192。168。188。188 的C盘。并上传了一个.exe文件。呵呵，他所上传的文件不是什么木马。可能当时他也只是在测试吧。没搞什么破坏。

当时分析了一下：
1.主机win2003  默认打开共享包括admin$ IPC$共享...问题就出在这里了。。。可以上传文件特定机子的某个盘里。并且可以在60秒后自动运行，这个程序.
2.可获得某特定机子的进程和所开启的服务项,并且可以远程在这台主机上运行某个进程和服务中点窗口都没出来。只有进程.
还有蛮多功能的。当时只见他用了这两个功能。。。搞得小弟我，怕怕啊！！！这个软件。。呵呵，最近我刚抓到了一个“AV”病毒。嘿嘿。要是这小子也有一个病毒。我不在的时候，其它老师上课时。搞上来。肯定完了。不过我装有金山我试了一下，升级最新版可发现AV直接清除了（这里小弟我不是为金山做什么广告）只是我个人比较喜欢用它。
后经发现我打开金山的防火墙，把安全设到最高。之后。他也连接了几次。嘿嘿。你们想他的机子怎么啦，会死机。共试了4次。都在我的监控之下。
后来我打开了系统自带的的防火墙，禁了UDP 的1025端口。打金山设到中。他还是连接不上。。我不知道这个方法不能解决这种类似的问题。。所以请各位大侠请教。

  我第一次发贴，也是最近几天刚学的网络，深受ARP攻击。。呵呵。(写得很乱）

最后发个图。问一下。以下这个图的225。2。89。1：5006 这个是什么IP

科来分析图。

电脑室网络结构...... 我还不太会用那些很正规的图。所以只能自己画。

昨天用Recton 连接时的包没能抓到，晚一下，我自己测试并发上来。给大虾帮我分析分析。怎么防。55555

只是一个神话 · 发表于 2007-6-29 09:29:14

LZ是被外网用户攻击，还是内网？

cctv305 · 发表于 2007-6-29 09:30:31

内网，IP是192。168。188。51

只是一个神话 · 发表于 2007-6-29 09:36:18

LZ的是什么系统？
是否安装了防火墙？
GUEST账号是否开启
系统账号设了密码不？强度怎么样？
除了IPC$和admin$还有其它共享不
系统补丁是否是最新的？

cctv305 · 发表于 2007-6-29 09:47:02

客户机是win2000 没装任何杀毒和防火墙开启GUEST ，其它共享没有。系统没打全最新补丁。
系统密码设了，但不强“Y”
主机是win2003 安装有金山防火墙开启GUEST.共享开了几个，但不只设有读取权限。系统已打最新补丁。系统密码是：Y

问一下那个225.2.89.1 是什么IP啊。他是在组播地址是什么东西。。

只是一个神话 · 发表于 2007-6-29 09:58:26

225.2.89.1这个我也不清楚，是否是什么路由协议定义了它

LZ所说的客户机是否是入侵主机
主机是否就是被入侵主机？

cctv305 · 发表于 2007-6-29 10:21:41

是的。。就是学校的电脑室。。

主机就是上课老师用来教学的，网络是双网卡共享上网。由主机控制。。
客户机就是学生机。
晚一点抓个包上来。

文少哥哥 · 发表于 2007-6-29 10:53:09

这个社会想黑一个没有防范及安全措施的电脑太容易了。。。。。。。

文少哥哥 · 发表于 2007-6-29 10:57:45

建议装啥毒软件，因为一般情况下即使被入侵了黑软也会被杀，但往往这样的时候少，因为他能入侵基本上就会找些好的工具或改造了的工具。
系统用户设强壮密码。内网蠢数字6位几分钟就能破解！
上网的时候一定要注意。最好用firefox。因为现在的用户之所以被黑或被控制80%是因为上网因为ie漏洞而被自动安装后门！

只是一个神话 · 发表于 2007-6-29 12:52:48

主机端密码一定要改掉，你这个密码不设倒好一点，有防火墙的看看里面的设置如何，

zealotcc · 发表于 2007-6-29 18:35:52

博物馆级的黑客手法,NTscan 扫admin弱密码,然后 recton开telnet,ftp放马

换个帐号,设个复杂的密码,NTscan就扫不到了,或者开防火墙就OK了

你看他桌面,他在放马,黑来黑去,不亦乐乎

xuefu · 发表于 2007-6-29 21:47:40

老师机与学生机的用户名和密码都相同，又开了共享，一个教室本身就成了全开放的了，别说用黑客工具，就是直接过网上邻居就把文件COPY上来了。对于计算机教室，若非完全必要，不必开放任何共享，都win2003的教师机，配上FTP服务来完成必要的上传下载要安全得多。
关于组播地址和IP，与你教室设里计算机设的组名相关，我发现不同的组名会用不同的组播地址。

秋水寒 · 发表于 2007-6-30 13:44:39

主要是你的密码太简单了，扫描软件一扫，就扫出来了。

夜翼 · 发表于 2007-11-13 00:28:55

Recton 呵呵～～
我曾经就拿到过老师的考试题～！那是N年前的事了～！
Recton它是不需要靠IPC$的，它依赖的是WMI服务，输入用户名，登录密码。然后打开目标机的任何共享～然后也不需要开telnet，更不要FTP～它自带有种植器。把马儿种过去，60秒后自动运行。一般是反弹式马儿～～

估计你的教师机密码为空吧？当初我是用SMBCRACK破解的教师机密码，5位数，有字母，有数字！花了10分钟破解出来的。而后还开了教师机的3389，添加了隐藏账户～～～

最近很穷 · 发表于 2007-11-20 11:32:03

楼主敢快装个杀毒软件吧~裸奔可不好，电脑可是大事情。

chinaheiyu · 发表于 2007-12-17 23:39:20

原帖由夜翼于 2007-11-13 00:28 发表
Recton 呵呵～～
我曾经就拿到过老师的考试题～！那是N年前的事了～！
Recton它是不需要靠IPC$的，它依赖的是WMI服务，输入用户名，登录密码。然后打开目标机的任何共享～然后也不需要开telnet，更不要FTP～它 ...

这是太卑鄙了。

不过我喜欢。

jeffzua · 发表于 2007-12-21 17:04:46

楼主敢快装个杀毒软件吧~裸奔可不好，电脑可是大事情。

zhengxian0821 · 发表于 2008-1-12 22:39:29

把计算机密码设个strong的，10位有数字，有字母，有符号，让他破去！

wodiyi · 发表于 2008-1-31 18:27:52

太强悍了！楼主没有杀软把！

雨中散步 · 发表于 2008-2-19 17:45:31

注意一下吗换一下密码

recker · 发表于 2008-10-7 22:56:38

其实楼主把135 和 139 端口关了就没事了这个的原理就是通过NTSCAN的WMI扫描你的135或者139端口是否打开,如果打开了就探测你主机的密码之后再用RECTON这个工具来开你的TELNET 之后就不用说了吧? 做个免杀上去电脑就是入侵者的了这个入侵方法老早就玩过了

我被一个学生黑了。。

评分

浏览过的版块