黑色海岸线论坛 - Powered by Discuz! Board

标题: 请教这种入侵的方式？？？？ [打印本页]

作者: 我是中国人 时间: 2005-4-25 23:37 标题: 请教这种入侵的方式？？？？

昨晚我用BT下载了部电影，在观看中突然弹出网页来，开始我没在意，忽然发现DOS命令在运行。立刻把网页了（这期间一直再上网）21：XX左右突然弹出对话框提示网络被封锁（打开IE没反映）我的文档，我的电脑，以及所有文件夹无法正常打开，我用公用对话框打开C盘目录发现一个名为IO的压缩包和一个名为Emil.exe的应用程序。可以确定中了木马。在任务管理器中发现运行的木马程序，写了进程保护。说实话黑我的应该是个普通的新手（连最基本的隐藏都没做到可见水平不高。）只是不明白怎莫会再观看电影的过程中被中木马，所以请教各位朋友下载的影片中难道可以插入木马吗？？？

作者: 飛鳥 时间: 2005-4-26 00:18 标题: 请教这种入侵的方式？？？？

照理说是可以插入木马的`~如果不损坏文件结构的话~
利用数据流应该也可以插吧~
不过更多的可能行是在WEB页上~
上的是什么网站拿来看看

作者: 北天 时间: 2005-4-26 02:57 标题: 请教这种入侵的方式？？？？

哦？这样攻击？还没有见过。。。

作者: 所谓伊人 时间: 2005-4-26 09:34 标题: 请教这种入侵的方式？？？？

可能是在rm文件中绑定木马了

作者: swordfly 时间: 2005-4-26 10:49 标题: 请教这种入侵的方式？？？？

可能在rm文件中加入了下载运行木马的事件

作者: 飞鸟设计 时间: 2005-4-26 11:52 标题: 请教这种入侵的方式？？？？

下面引用由飛鳥在 2005/04/26 00:18am 发表的内容：
照理说是可以插入木马的`~如果不损坏文件结构的话~
利用数据流应该也可以插吧~
不过更多的可能行是在WEB页上~
上的是什么网站拿来看看

同感。楼主，你那是什么站呀？拿来研究研究。

作者: 漫天樱舞 时间: 2005-4-26 12:59 标题: 请教这种入侵的方式？？？？

你中的应该是NCx99
他可以把cmd.exe程序绑定到99端口
而且一般是通过Real服务器发布的,包括有.rm、.ram等
他可以通过telnet 目标主机的99端口，登陆到目标主机上进行攻击行为。
　

作者: 所谓伊人 时间: 2005-4-26 14:03 标题: 请教这种入侵的方式？？？？

妹妹，越来越佩服你了

作者: 我是中国人 时间: 2005-4-26 16:15 标题: 请教这种入侵的方式？？？？

下面引用由漫天樱舞在 2005/04/26 12:59pm 发表的内容：
你中的应该是NCx99
他可以把cmd.exe程序绑定到99端口
而且一般是通过Real服务器发布的,包括有.rm、.ram等
他可以通过telnet 目标主机的99端口，登陆到目标主机上进行攻击行为。
...

靠谱我可以把下载电影的地方告诉你，只是当你们看的时候要小心啊！谢谢大家的分析，以后下载的电影不敢看了。。。
http://bbs2.cnxp.com/dispbbs.asp?boardID=116&ID=411160&page=5

作者: 我是中国人 时间: 2005-4-26 16:20 标题: 请教这种入侵的方式？？？？

请问漫天樱舞怎样预防NCx99？？能否告诉我，新手向您请教了。

作者: 飛鳥 时间: 2005-4-26 18:34 标题: 请教这种入侵的方式？？？？

那里还是什么妹妹啊`~
简直就是女强人啊`~
搜索看了下`~关于这个NCx99有后门程序附带服务:Metagram Relay

作者: 漫天樱舞 时间: 2005-4-26 20:39 标题: 请教这种入侵的方式？？？？

下面引用由我是中国人在 2005/04/26 04:20pm 发表的内容：
请问漫天樱舞怎样预防NCx99？？能否告诉我，新手向您请教了。

首先，要知道ncx99是利用unicode漏洞的
所以你可以在C:\winnt\system32\logfiles\w3svc1目录里看那里保留的以往的Web访问记录，其文件名的形式通常是ex040601.log，其中040601表示Web访问的日期。如果有人利用UniCode漏洞访问过本机，则可在日志中看到记录：

如果是有人曾经执行过copy、del、echo、bat等具有入侵行为的命令时，在日志中会有记录例如：
12:25:10 192.168.1.6 GET/scripts/..\./winnt/system32/ cmd.exe 401
这个IP就是入侵的IP

对于这类攻击，事后补救往往不行了。最好的办法就是事先预防，预防的办法可以这样
限制网络用户访问和调用cmd命令的权限。
如果Scripts、Msadc等目录不必使用的话，可删除该文件夹或重命名。
如果你安装Windows 2000操作系统，不使用默认的Winnt文件夹名。
下载微软提供的补丁程序，下载地址如下：
IIS 5.0补丁地址：
http://www.microsoft.com/windows2000/downloads/critical/q269862/
default.asp
：）

作者: zwzzj 时间: 2005-4-26 21:38 标题: 请教这种入侵的方式？？？？

强,学到了。

作者: 我是中国人 时间: 2005-4-26 21:39 标题: 请教这种入侵的方式？？？？

他现在又来了，又给我放了几个木马！！我该怎莫办？？？

作者: 漫天樱舞 时间: 2005-4-26 22:00 标题: 请教这种入侵的方式？？？？

你不能不上了吗？

作者: 坏的刚刚好 时间: 2005-4-26 22:02 标题: 请教这种入侵的方式？？？？

你没看懂漫天樱舞斑竹的话么~
限制一些程序，端口打好系统补丁

作者: skyxhc 时间: 2005-4-26 22:45 标题: 请教这种入侵的方式？？？？

装个防内防外的防火墙
基本上可以防一下.
然后,你的应该是个人机子吧,有装iis不?
unicode漏洞?这东东应该很少有了吧.
可以在rm文件中定时打一个网页.楼主所说观看中弹出窗口,那就是这样了.
当然这是个网页木马.
所以你现在应该做的,先申明,仅供参考.
断网查杀某些所谓的病毒....
再给你的系统打上最新的补丁.(主要是ie的)
然后装个防火墙有条件再装个杀毒软件,开个实时监控.
这样一般的网页木马就可以防住了
如果像我分析的那样的话,这种入侵方式就没什么了,说穿了只是网页木马而已.
只是在rm做了点手脚罢了,不过这种方式较为隐bi....

呵呵,以上个人分析,仅供参考....

作者: 我是中国人 时间: 2005-4-26 22:58 标题: 请教这种入侵的方式？？？？

我的Windows Update升级打开后无法下载补丁，麻烦各位能不能给我个下载网址试试。。我的系统有漏洞。

作者: 欣天下 时间: 2005-4-26 23:09 标题: 请教这种入侵的方式？？？？

用防火墙禁止播放器对网络的访问行不行~~~~~~~~~~

作者: 我是中国人 时间: 2005-4-26 23:36 标题: 请教这种入侵的方式？？？？

明白了，现在正在下补丁。。。

作者: 我是中国人 时间: 2005-4-27 16:40 标题: 请教这种入侵的方式？？？？

经过这两次被入侵之后，我学到不少的东西，菜鸟我再次感谢黑客海岸线的朋友们给我的帮助，也让我知道自己网络安全知识的不足。

作者: zaham 时间: 2005-4-28 12:25 标题: 请教这种入侵的方式？？？？

不错,我们的女强人,佩服!

作者: x86 时间: 2005-4-28 12:50 标题: 请教这种入侵的方式？？？？

厉害...

作者: 黯星泪 时间: 2005-5-1 15:47 标题: 请教这种入侵的方式？？？？

姐姐你的帖子我要全部收藏
嘿嘿
拿来研究

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)