目前流行的挂木马的基本步骤(可能有个别地方不准确):1、利用杰奇系统的漏洞,上传具有一定危险功能的文件,表现为:zh.php、cmd.exe、*.asp,这几个文件都具有不同的目的,只要被上传了这几个文件,相应的js文件就会被修改,然后就被挂马了。
2、上传了文件后,如果你的权限设置的不对,比如多给了运行权限,该黑客就可以利用这几个文件进行提权,直接可以创建管理员账号,然后通过*.asp文件获得你的远程连接的端口,然后利用注入的管理员账号登录系统,进入系统了,那就随便改啦。
所以针对上面的步骤,我们可以这样做:1、权限一定要设置好,大部分网站目录只给读取权限即可,个别的多给写入权限。
2、所有的js文件都改成只读的3、删除系统的以下三个文件,执行脚本如下:(开始-运行里面就可以直接执行)regsvr32 /u %SystemRoot%\System32\wshom.ocxregsvr32 /u %SystemRoot%\System32\shell32.dllregsvr32 /u %SystemRoot%\System32\wshext.dll4、修改远程链结默认的3389端口,改成12345 12323等等类似的。
群共享里有软件直接修改重启机器生效。
设置好了以上的几步后,针对杰奇的漏洞产生的木马,基本上就能防止了。
当然,其他的漏洞还是得需要好好设置,可以参考群共享里的一篇word文档,服务器安全设置贴一下这次挂马的代码,请大家仔细检查自己的js文件中是否有下面的代码:晕,我的都被我删除了,没了。
谁能提供我一个被修改过的js文件。
已经中木马的人的找马步骤:1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件,直接删除即可。
2、检查你的所有js文件,如果发现下面这样的代码,那就是木马代码。
删除这些木马代码。
本文档的服务器安全设置分三个部分(一)服务器的基本安全设置本配置仅适合Win2003,部分内容也适合于Win2000。
很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
经测试,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。
以下配置中打勾的为推荐进行配置,打叉的为可选配置。
一、系统权限的设置1、磁盘权限系统盘只给Administrators 组和SYSTEM 的完全控制权限其他磁盘只给Administrators 组完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅Administrators 组完全控制权限把所有(Windows\system32和Windows\ServicePackFiles\i386) 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略-->用户权限分配关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除C、本地策略-->安全选项交互式登陆:不显示上次的用户名启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许为网络身份验证储存凭证启用网络访问:可匿名访问的共享全部删除网络访问:可匿名访问的命全部删除网络访问:可远程访问的注册表路径全部删除网络访问:可远程访问的注册表路径和子路径全部删除帐户:重命名来宾帐户重命名一个帐户帐户:重命名系统管理员帐户重命名一个帐户D、账户策略-->账户锁定策略将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”二、其他配置√·把Administrator账户更改管理工具→本地安全策略→本地策略→安全选项√·新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户更改描述:管理计算机(域)的内置帐户×·重命名IIS来宾账户1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName2、打开IIS 管理器→本地计算机→属性→允许直接编辑配置数据库3、进入Windows\system32\inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存4、关闭"允许直接编辑配置数据库"√·禁止文件共享本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft 网络客户端"前面的"√"√·禁止NetBIOS(关闭139端口)本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用NetBios over tcpip→重启√·防火墙的设置本地连接属性→高级→Windows防火墙设置→高级→第一个"设置",勾选FTP、HTTP、远程桌面服务√·禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无法列举本机用户列表、禁止空连接)新建REG文件,导入注册表Windows Registry Editor V ersion 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoshareWks"=dword:00000000"AutoShareServer"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001√·删除以下注册表主键workwork.1{093FF999-1EA0-4079-9525-9614C3504B74}WScript.ShellWScript.Shell.1{72C24DD5-D70A-438B-8A42-98424B88AFB8}Shell.ApplicationShell.Application.1{13709620-C279-11CE-A49E-444553540000}√·更改3389端口为12344这里只介绍如何更改,既然本端口公布出来了,那大家就别用这个了,端口可用windows 自带的计算器将10进制转为16进制,16进制数替换下面两个的dword:后面的值(7位数,不够的在前面补0),登陆的时候用10进制,端口更改在服务器重启后生效。
新建REG文件,导入注册表Windows Registry Editor V ersion 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0003038[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00003038最后别忘了Windows防火墙允许12344端口,关闭3389端口√·禁止非管理员使用at命令,新建REG文件,导入注册表Windows Registry Editor V ersion 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"SubmitControl"=dword:00000001√·卸载最不安全的组件运行"卸载最不安全的组件.bat",重启后更名或删掉Windows\System32\里的wshom.ocx和shell32.dll----------------卸载最不安全的组件.bat-----------------regsvr32 /u %SystemRoot%\System32\wshom.ocxregsvr32 /u %SystemRoot%\System32\shell32.dllregsvr32 /u %SystemRoot%\System32\wshext.dll-------------------------------------------------------√·Windows日志的移动打开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"Application 子项:应用程序日志Security 子项:安全日志System 子项:系统日志分别更改子项的File键值,再把System32\config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。