荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: BLUESIR (离奇的scene), 信区: Security
标 题: 局域网猎“马”记
发信站: 荔园晨风BBS站 (Thu Jan 2 22:15:53 2003), 转信
本不想说这件无聊的事,不过想给乱用木马的菜鸟一点忠告,所以还是写写几天前
的事。
我的一个网友突然发信息给我说他的机有点问题,系统是win2000的,可能是被人
远程控制了。我向他要了用户名和密码,远程启动telnet过去。netstat -an,看见有
一台机在连它的19191端口。这个一看就知道是bluefire。继续,端口太多,netstat
-an |more,分屏显示。如果仅仅是一个19191还不能完全说明问题,但是后来,那台机
连接的端口却变成21,80,这个当然是open ftp,open http命令。我新开一个窗口,打
开朋友机器的默认80端口网页一看,果然是蓝色火焰生成的漂亮网页,这个相信很多朋
友都见过。证据确凿,又知道了他的ip……
不过我也想看看他的水平究竟如何,看看他的机有什么端口……ping一下,request
time out.扫一下,低端没有开一个端口,这家伙防火墙打得倒挺结实的。但我又想,
虽然我不是要进入他的机,但如果他改了ip和机器名,又怎么知道他是谁,如果我的朋
友想追查的话。
取他的网卡地址。可能会立刻想到mac scanner,这个软件可以获得机器名和网卡地
址。但是他的机ping都ping不通,机器名都取不到,结果上根本就不会显示出来。
那么就用arpsniffer吧。基于交换环境的嗅探器,这个软件有很多高难用法,但是这里
我只想获取他的网卡地址,而且前提是在同一网段才可以知道。这倒不难。假定是把我
可控的机加到他的机和网关之间,他的网卡地址很快就出来了00-e0-4c-39-1a-**,呵呵
,完成任务了,修书一封给网友让他快杀木马。
这个远程控制的家伙很笨,当他切断连接的时候,居然连close http,close ftp都
忘了。网络方面的知识还是要多知道一些底层的原理,网卡的物理地址也许可以说明这
一点。写这些无聊的东西只是想给乱连别人电脑的家伙一点忠告,不要以为自己装了防
火墙,改了ip,别人就不知道你是谁。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.41]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店