黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创] 爆强！昨晚遇黑客，3小时攻防战！ [打印本页]

作者: 无辜菜鸟 时间: 2007-5-10 10:20 标题: 爆强！昨晚遇黑客，3小时攻防战！

昨晚是我第一次与黑客正面交锋，首先得说，对于防黑客我很菜，虽然知道有黑客，有远程控制但第一次那么切身体验，不说废话，昨晚的一切我还历历在目。
昨晚11点多钟登到“海岸线网络安全(信息安全)技术论坛 » 黑客攻防”在百度搜索找“如何利用21端口”找到了这个网站，看了几篇文章后觉得不错就注册了，0点时发了几个回复，大家可以看到。在看了《[原创] QQ密码是这样强暴出来的》就觉得不错，我QQ前不久被盗了，也是因为这件事我开始想了解病毒黑客什么的，但我从没想害人，想了解用于防范。我真的要感激这段时间的学习，不然。。。。又扯远了，不好意思。看了这个贴字后，就想下那个QQ暴力解码软件，想把QQ拿回来。在找到一个网站说可以对付2007板的QQ的暴力解码软件，我就下了，名字为QQ2006.ZIP,我开始安装，结果可怕的事情开始发生了，金山网标出现了一大堆访问网络的软件，窗口快速出现那个在运行输入CMD就会出现的黑色窗口，一闪就没了，我感到不对，马上全部禁止了那些要求访问网络的软件，马上扫描隐蔽软件，结果出现一大堆隐蔽软件，我点全部移除，重起，结果发现有个autoxxx.inf就是无法移除，我想中毒了，打开盘符多了个AUTO，这个病毒我以前见过，网上交的办法不错，就是不要点AUTO，直接点打开就行，然后直接删除AUTOXXX.(文件类型不记得了）然后点优化大师清理注册表就好了。本没大在意，但是突然发现我不能显示隐藏文件了，这里我要赞一下一键还原，不是它我恐怕已经不能上网了，马上一键还原。一会儿我可以显示隐藏文件了，果然，除C盘外其他盘里都有一个autoxxx.inf和一个XXXXXX.EXE(因为删了不记得了），用老办法，一试，重起，晕！还是在，我发现你删了以后刷新一下就又出来了，在启动项里出现了一个internat,点禁止禁用，重起，还在。实在没发子了，准备来本网站求救，就在我打字的时候，弹出安装金山毒霸，我关闭，又弹出一个不知名安装程序，我又关了，在我字快打完的时候，突然窗口被关闭了，脑袋一轰！----被人控制拉！！！！！！
这是第一次可以明显看出有人在控制我电脑，我想那边的人肯定是急了，因为肉鸡想求救！！！！！我马上拔掉网线，回顾这段时间的所学，打开管理工具，查看用户，果然多了个ASPNET，为什么知道，因为我只保留了管理员用户，其它全部禁用了，多了个开启的用户名能不知道吗？马上开始把所有用户设置超强密码，关掉那个新用户，密码是qisini9999999999,就是“气死你”的意思，（呵呵，有点挑衅的感觉，自以为学了点东西）然后关闭了21、135、3389等端口，重起，接上网络，然后暴晕！！！！！！！！！！！那个黑色窗口又一闪，我还是发现进程了多了2个奇怪的进程，C11BA什么的还有ATI HOTKEY POLLER，估计是病毒在运行所以无法删除，想看看谁在和我连接，输入CMD，输入netstat -n,结果晕死，多达20多个IP在连接我，然后，电脑有失控，我开的窗口在自动关闭，我马上拔掉网线，打开任务管理器，多达40个进程，用户名变成〈未知〉，我打开管理工具，暴强！！！我的“本地用户和组”前面打了个红叉！！！！无法打开，看来我是激怒了黑客。。。。我已经无从解决，无奈再次一键还原，在没有网络的情况下我耐心的每一部操作，打开服务，发现两个没有描述的项，我都关了，顺便关了一个远程控制的启动项，打开进程，关掉不认识的进程，重复删掉那两个文件，用优化大师清理。打开计算机管理，把每个用户设置16位大小写和数字混合而成的密码，关闭一部分端口，将金山网标安全调到最大。。。。。最后一次点重起！！！

奇迹发生了，我的病毒没了！电脑全部恢复正常！没有了控制，心情一下子好了起来，虽然不知道是哪个设置起了作用，但是我成功了，作为菜鸟我很兴奋，因为我第一次打败了黑客！但是希望大家别有意见，也许是那个黑客不怎么行，也许只是我运气好！这件事使我更坚定要好好学，不在害人，在于防范！！！！希望来贵网站能学到知识！！！也不知道我是否真的打败他了，不知道是否还有后疑症，请各位告诉我，先谢谢各位高手！！！

作者: 无辜菜鸟 时间: 2007-5-10 11:07

:( :( 也许在你们大鸟眼里这种小防御不值一提，但是对于我来说这确实是很大的事，看来在这个论坛只有看的份，没分量没说话权。。。。:(

作者: voxadd 时间: 2007-5-10 14:47

看起来看好玩的啊:)

作者: 黑色叶子 时间: 2007-5-11 22:20

欢迎你的加入，希望你在这里能认识更多的朋友,也希望你能学到东西，海岸线永远是你忠实的网络伙伴

作者: chinanic 时间: 2007-5-12 02:24

推荐使用NOD32防毒软件。。。

这样在你下载到病毒的时候它就会自动通知你了。。而不是等到你解包运行之后才发现。。

另外。。被人控制别慌。。先到防火墙里面禁用可疑进程访问网络。然后在金山防火墙里面查看可疑进程的位置。。文件名。。并记下。。然后结束进程。。找到并删除之。。为了防止它们在一些你不知道的地方有副本。你可以使用系统的搜索功能搜索你刚才记下的那些文件名。。

最后到注册表里面搜索一番。。

再清除msconfig中的启动项！

嘿嘿。。删不掉的就进安全模式吧。或者用WINPE光盘也行。

作者: 青蛙 时间: 2007-5-12 10:11

不错的心得,多积累,以后经验就会更足,处理这类问题会更得心应手

作者: fcts1230 时间: 2007-5-12 12:19

建议向我们这样的小菜都装个影子系统
比一件还原好多了

作者: fcts1230 时间: 2007-5-12 12:19

欢迎来到海岸线

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)