Taste
圣百合LV21

误以为自己感染远控木马,看看我如何解决! 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

LH网络私服/扫爆抓鸡服务器租用

美国洛杉矶机房,优化线路!低至:58元一个月!

江苏南通机房2h1g!可以扫爆!低至:115元一个月!

绍兴电信Q9/500G/4G/20M独享/单防30G!550元/月

只做高端机器!更有棋牌服务器、高防服务器等业务!

满就送礼品!诚招代理!

详情请联系:


联系QQ :772213820/631444535

————————————————————————————————————

事情起因呢,是我想要搞个edu,通过御剑一阵扫,发现了这个…………
怀着好奇的心情打开看看,我操你妈,直接下载了,好歹你ie要问问我是不是要下载啊…………
下载完了,我又怀着好奇的心情打开了,我操你妈,乱码…………
然后我就关了记事本……
再然后…………
再然后,我点了下ie的查看下载,不看不要紧,一看吓死了,我操,我下载的这个1.txt呢???

首先,我想了灰鸽子的那个木马运行后自删除的功能,尼玛,会不会是别人把木马改成txt后缀,然后被本宝宝运行了…………顿时吓得一身冷汗……赶紧借u盘,把电脑里的片啊什么的存起来,准备重装系统……既然远控了,对吧,我肯定得和你服务器有联系吧,netstat -an看看端口,还有和哪些电脑有联系,发现了到时直接日了你服务器(注意,我想装逼了)netstat-an,上图,我的妈啊,怎么开了7000,8000端口啊,这是什么,百度之,我操,顿时吓了两身冷汗…………端口:7000 服务:[NULL] 说明:木马Remote Grab开放此端口。好像也就是冰河木马开的端口…………8000是qq开的,这个放心了

然后还是不死心,想看看是哪个进程,于是乎,先查查pid,netstat -aon|findstr "7000",发现pid为7800
然后再看看pid为7800的是哪个进程…………tasklist|findstr "7800"
我操,原来是酷狗,我操,你他妈的干嘛和冰河木马整一样的端口,吓死宝宝了
嗯,接下来那看看8000的是不是qq开的端口…………
大家如果觉得自己端口有异常的情况的话,可以通过这种方式查嗯,没中木马就好,你以为结束了吗???NO于是,我去我服务器,生成一个木马客户端,让我虚拟机走起来!!!看看端口是什么样的…………netstat-an上图

看到没,我电脑的1808和我服务器的2015端口建立了联系,被远控了
(服务器ip打码,请理解,我怕大牛们日我服务器
)我服务器的远控也提示上线了

是吧,如果你被远控的话,是可以看到对方服务器ip的,然后你去3389爆破,日死他
你以为完了吗,NO回虚拟机看看pid和进程

接下来呢,我们可以结束他,既可以在任务管理器结束,也可以通过命令结束
再去我的服务器看看,我的虚拟机这只可爱的肉鸡不见了,就剩下一个了

好吧,差不多完了…………至于我的虚拟机重启后,还会不会重新上线,哈哈,大家自己试试吧,其实还没完…………说得已经差点忘记主题了,我是不是还得看看我的电脑和哪些服务器有联系,,再次netstat-an走起
80端口大家都知道干什么的吧,那个3389是我和服务器连接的,还剩下两个可疑的了



Zi-Expo
#1楼
发帖时间:2016-8-25   |   查看数:0   |   回复数:0
游客组