Posted: 2004/5月/26 10:45上午 | IP記錄

如何全面抵制黑客攻擊

我們自己的電腦被入侵後，怎麼辦呢？不要著急，小編帶領大家從發現黑客到拒絕黑客，最後我們來騷擾黑客，我來也來黑黑客一把。

    前段時間由於我表弟要學ASP，所以我去把他的操作系統換成了Windows 2000高級服務器版（SP4）。他興奮地對我說以後要寫一個比動網還好的論壇。可惜好景不長，兩周過後他打來電話向我求救，說 是中病毒了。　　

　　發現黑客

　　我火速趕到表弟家一看，那些「病毒」文件無一例外都存放在D:winntsystem32hack下，有nc.exe、op entelnet.exe等。明顯這些不是病毒，而是黑客工具，表弟的電腦被黑客入侵了。

　　開工了！憑著玩網絡安全兩年多的經驗，我進入了D:Documents and settings，發現除了表弟使用的Administrator用戶和默認的ALL USERS文件夾之外，還多出了一個Justme文件夾。這類黑客都是先給系統添加一個合法用戶，再打開服務器的終端服務登入， 最後把這些服務器作為跳板來入侵別人的。於是，我打開services.msc，發現服務中果然多了一個Terminal Services。

    拒絕黑客　　

　　從服務器管理中刪除這個Justme用戶後，我開始查找黑客可能留下的後門。運行cmd.exe並輸入netstat -an，發現在一些正常的端口中多出了一個7777端口（如圖1）。這個端口看起來非常可疑，我用TELNET去連接它，返回了 一個指向D:winntsystem32hack的路徑，並且隨意輸入一個命令它都能夠正確執行。看來這的確是黑客留下的一個後 門，那它使用的是哪個程序呢？下面我要查看系統的進程。

　　在進程管理中，我看到了一個十分不願意看到的進程——svchosts.exe。它無法手工結束，每次結束的操作都會彈出一 個拒絕訪問的提示框。看來是我目前的權限不夠，那麼這個比Administrators權限還要高的進程一定是以System權 限運行的。當我再次打開service.msc時，發現一個叫Kent的服務，所執行的文件就是這個svchosts.exe。 於是我馬上終止了這個服務，並找工具刪除了它。就這樣，可惡的進程和它的7777端口一起消失了。我再仔細地通查了註冊表和服務 的DLL，直到確定全部安全為止。

　　這個黑客是怎麼進來的呢？我看了看表弟安裝過的安全補丁，發現只有微軟MS-03049號安全公告中的補丁未打上，並且Wi ndows事件查看器裡也有WORKSTATION服務異常的記錄。這下可以確定黑客是通過MS-03049的安全漏洞進入了表 弟的電腦。接下來的事情就是打補丁，安裝並開啟防火牆。

   騷擾黑客　　

　　本來事情到此就結束了，可是表弟捏緊拳頭對我說：「這黑客太可惡了，你一定要幫我抓他殺了出氣！」我頓時Crazy Faint。唉，現在的小傢伙！最後我決定只輕輕地警告這個黑客。

　　我從hack文件夾裡複製了nc.exe到C盤，然後把其他文件刪除。運行cmd.exe後，我笑著對表弟說耍猴開始了。

　　我在C:下新建了一個文本文件haha.txt，寫上一些話後保存（如下圖）。在cmd窗口中輸入「c:nc.exe -vv -L -p 7777 < c:haha.txt」，看到屏幕顯示了「listening on [any] 7777 ...」後就招呼表弟過來一起玩遊戲，而把這個cmd窗口放在那裡，只時不時地注意一下動靜。這是因為，黑客一旦發現失去了這台 電腦的控制權，就會利用他所佈置的後門再次入侵。我就是利用了他的這個心理，準備給他一個深刻的「回憶」。

　　大約兩小時過後，我和表弟看到這個cmd窗口中出現了動靜——魚兒上鉤了！各位讀者想想在黑客那邊會出現什麼情景？他的連接 窗口中會出現我剛才在haha.txt中寫的話，足足能讓他氣上半天的。哈哈，真是痛快！我們不僅得到了他的主機名和IP，還消 遣了他一通。

　　最後，我這邊的電腦屏幕上出現了來自黑客的回話（如上圖）。看得出來，這位黑客正鬱悶著！