.NET是微软下一代的操作平台,它允许人们在其上构建各种应用方式,使人们尽可能通过简单的方式,多样化地、最大限度地从网站获取信息,解决网站之间的协同工作,并打破计算机、设备、网站、各大机构和工业界间的障碍--即所谓的“数字孤岛”,从而实现因特网的全部潜能,搭建起第三代互联网平台。后缀为net是网络服务公司,为个人或商业提供服务。
放假的两天朋友就说自己的电脑很不正常好象是被入侵了因为放假本来时间就少所以匆匆赶到朋友家一看WinXP PROSP2天网和诺顿都是最新版的按理来说安全性是很强的好一步步检查下去
1先查看本机日志没什么可疑的系统用户组管理登陆等信息(入侵者一般不会给你留下有用的日志的)
2NETSTAT看看端口的情况也是一切正常
3再检查开启的服务看到朋友的IPSEC安全策略是启动的而且朋友有一定的计算机知识也配置了IP安全策略再往下看朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager两项服务已经启动我们都知道此服务是当某个程序引用一个远程DNS或NETBIOS名或者地址的时候建立远程网络连接用的但是此服务开启也很正常没有可以利用的端口是无法连接的朋友的135137138139445端口是关闭的
4检查IPC\$朋友的IPC\$是开启的危险但是又想到防火墙和IP安全策略能连接的可能性几乎为零
作为一台个人使用PC来说朋友的安全性是不错的正准备往下查的时候看到一台NB摆在旁边朋友说公司的NB拿回来COPY资料我看了下NB因为配置问题装的98于是想起98和XP互连朋友估计装了NETBEUI协议的于是继续检查
装了NETBIOS协议并没有NETBEUI但是朋友说曾经装过但是卸了
NETBEUI协议其实是NETBIOS的本地延伸用于不同的计算机网络互通的 但是我记得NETBEUI协议的卸载不是那么简单从协议组中就卸了的于是发现了点问题的可疑点
再次检查日志发现了可疑点
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7000
Date: 3/26/2005
Time: 9:54:24 AM
User: N/A
Computer: KK
Description:
The NetBEUI Protocol service failed to start due to the following error:
The system cannot find the file specified.
原来协议还在系统中这是启动失败信息
于是马上检查注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf
看到了NETBEUI的信息原来系统中的NETBEUI并未被删除
我们知道系统的口令进行校验时是以发送的长度数据为依据的在发送口令认证数据包时可以设置长度域为1同时发送一个字节的明文口令校验程序会将发来口令与保存的口令的第一个字节进行明文比较如果匹配就认为通过了验证特别是作为NETBIOS协议来说漏洞是很大的
再看朋友的Internet连接TCP/IP上的NETBIOS没有禁用这个时候可以来查找问题的根源了
扫描软件?其实不用利用系统的端口监听就可以完成端口监听过程中发现端口7777正在被监听(因为时间有点长在整理东西时候朋友喊的忘记了抓图)这个有点异常所以马上看进程但是却没有异常感到越来越奇怪了
于是用TCPDUMP抓包看到tcpdump: listening on 7777果然端口被占用了看来是后台进程于是使用TCP Connect扫描因为端口处于侦听状态所以Connect就能成功这时出现了大量的错误信息不一会系统的LOGS文件显示一连串的连接出错消息然后关闭了服务(以非线性方式连接)这时本打算继续扫描TCP SYN和TCP FIN都不需要了
于是返回注册表把NETBEUI协议的信息删除REBOOT在连接一切正常
回过头来看事情的正个经过其实都缘于朋友装卸NETBEUI协议的不正确和大意导致了NETBEUI协议和NETBIOS协议在使用中发生冲突原来朋友的爱机曾经中过YAI蠕虫病毒虽然杀毒成功但是滞留在系统的错误设置却没有改变过来
TCP 7777=NetSpyYAI病毒利用了系统的7777端口那时NETBEUI在启用中虽然协议从协议组中消失了但是注册表和配置信息却还在所以导致有TCP数据连接时系统又自然而然的开启了7777端口来找寻NETBEUI协议的数据流因此产生了错误的日志
就这样朋友的问题也解决了入侵者的担心也烟消云散原来是这小小协议在捣鬼呵呵还让我们为这个入侵者搞得晕头转向