步骤六:另外安装更为隐蔽的Telnet服务 。
为了事后仍然能登录到该计算机,入侵者在第一次登录之后都会留下后门 。这里来介绍一下入侵者如何通过安装系统服务的方法来让Telnet服务永远运行 。在安装服务之前,有必要了解一下Windows操作系统是如何提供“Telnet服务”的 。打开“计算机治理”,然后查看“Telnet服务”属性,如图示 。
在“Telnet的属性”窗口中,可以看到其中“可执行文件的路径”指向“C:WINNT SYSTEM32tlntsvr.exe” 。可见,程序tlntsvr.exe就是Windows系统中专门用来提供“Telnet服务”的 。也就是说,假如某服务指向该程序,那么该服务就会提供Telnet服务 。因此,入侵者可以自定义一个新服务,将该服务指向tlntsvr.exe,从而通过该服务提供的Telnet服务登录,这样做后,即使远程主机上的Telnet服务是被禁用的,入侵者也可以毫无阻碍的登录到远程计算机,这种方法被称之为Telnet后门 。下面就介绍一下上述过程是如何实现的 。首先进入instsrv所在目录,如图所示 。
更多的请看:http://www.QQread.com/windows/2003/index.Html
然后使用instsrv.exe建立一个名为“SYSHEALTH”的服务,并把这个服务指向C:WINNT zSYSTEM32tlntsvr.exe,根据instsrv.exe的用法,键入命令“instsrv.exe SYSHEALTH C:WINNTSYSTEM32tlntsvr.exe”,如图所示 。
一个名为“SYSHEAHTH”的服务就这样建立成功了 。虽然从表面看上去该服务与远程连接不存在任何关系,但是实际上该服务是入侵者留下的Telnet后门服务 。
通过“计算机治理”可以看到该服务已经添加在远程计算机上 。入侵者一般会把这个服务的启动类型设置成“自动”,把原来的“Telnet服务”停止并禁用,如图所示 。
通过验证可知,虽然远程主机上的Telnet服务已经被停止并禁用,但入侵者仍然能够通过Telnet来控制远程主机 。通过这些修改,即使治理员使用“netstat –n”命令来查看开放端口号也看不出66端口正在提供Telnet服务 。
另外,这里顺便介绍一下netstat –n命令 。该命令用来查看本地机当前连接情况,如图所示 。其中,“Proto”列为当前连接的协议类型,如TCP协议和UDP协议 。“Local Address”列为本地主机的IP地址,从图可见,本地主机有两个IP地址,分别为“192.168.0.2”和“192.168.27.1” 。“Foreign Address”列为远程主机IP地址 。“State”列为当前连接状态,其中包括ESTABLISHED(已经建立),TIME_WAIT(等待),SYN_SENT(正在连接)等状态 。
常见问题与解答
1.问:虽然获得远程主机的用户名和密码,但是使用opentelnet连接的时候失败,如图所示,为什么?
答:根据返回的错误号“53”可知,目标主机没有启动Server服务,或者没有开放IPC$ 。
2.问:如何才能抵御Telnet入侵?
答:
保证账号密码的强壮性,防止被暴力破解 。
禁用Telnet服务 。
由于opentelnet是通过IPC$来实现的,所以关闭IPC$也可以防止一些情况的发生 。
【Telnet高级入侵攻略】安装网络防火墙 。
推荐阅读
- 王者荣耀高级梦境能拿两个皮肤吗
- Telnet入侵最完全手册
- 发朋友圈的高级情话有哪些?
- 妄想山海怎么获得高级装备
- TELNET的SEND-LOCATION选项
- TELNET扩展ASCII选项
- 什么是TELNET协议
- 怀旧服元素入侵多久一次
- 如何解决GameCIH2无法进入高级模式
- 高级工程师报考条件 高级工程师的含金量