導航:首頁 > IDC知識 > 木馬伺服器

木馬伺服器

發布時間:2021-03-26 06:04:39

1、伺服器被中了木馬,如何清除?

這是一種典型的掛馬,黑客將你的伺服器攻陷後(有時甚至不用攻陷),通過修改你網站代碼,來達到抓肉雞,賺取點擊量或者其他什麼目的。
首先,第一次出現的代碼是比較原始的窗口彈出(就是將"http://iisa1.eyesir.net:7777/gethostjs.php"中的廣告以窗口方式彈出)而第二次的代碼是經過修改的(實際上也是達到同樣的目的,但通過修改代碼,用等價代碼替換,可以繞過殺軟的查殺,但慶幸的是最後還是被查殺了)
要做到這個其實不難,這個黑客最有可能是通過注入,得到網站後台密碼,再上傳木馬,得到webshell,在通過webshell來上傳修改過的網站源碼。另外,跨站方式也是有可能的,如果你的伺服器有多個網站,黑客就可以通過別的網站來控制伺服器,進而修改你的網站。還有其他方式比如弱口令等,但概率不大。
我推薦你一個黑客工具:啊D,你到網上搜一下,下載下來,可以用它來檢測你的網站是否有注入漏洞。
最後提醒你一句:自從出現了黑客,網站都沒有絕對安全。既然黑客已經入侵了你的伺服器,說明你的網站絕對有漏洞,要盡快修補。還有,按照慣例,黑客入侵後一般會在伺服器中留後門或是木馬(而且很有可能經過免殺,殺軟查不出來),你即使將剛才幾個東西刪除了,黑客還有可能卷土重來。最後,即將廣告代碼刪了,保不齊黑客還會在伺服器中留其他掛馬語句(而且被修改的更變態,殺軟無法查出,或是這句掛馬語句不是用來彈窗的,而是用來植入木馬的,這種掛馬如果做得好根本沒有任何外在表現)
祝你好運。
(純手工答復)

2、伺服器中了木馬

查殺木馬,最好還是用木馬專殺軟體,360在查殺木馬上有時候確實不太好用,你可以試一試木馬清道夫2010,10年最新版本,木馬查殺、惡意網站攔截、防木馬盜號等各種功能功能都更加強大和完善,是一款不錯的專業殺毒殺木馬軟體,而且使用方便快捷,希望能幫到你。

3、出現木馬主犯c&c伺服器什麼意思

請嘗試使用安全軟體進行掃描,設備中存在木馬一般是不良的上網習慣或者下載陌生的軟體導致的。設備中存在木馬一般的表現是自動下載其他垃圾軟體、系統卡頓或者出現延遲、出現有遮擋的廣告等問題。

若懷疑手機中存在木馬或者病毒,請嘗試按照以下步驟請嘗試安裝一款安全軟體(例如:手機管家等)。以手機管家為例,打開手機管家,點擊主界面上的一鍵體檢即可自動檢測手機中存在的問題,並且給出處理建議,點擊一鍵清除即可刪除病毒程序。

若懷疑電腦中存在木馬,請嘗試下載一款安全軟體(例如:電腦管家等)進行全盤掃描和清理即可。也可以嘗試下載木馬專殺程序對電腦進行清理。若依然無法處理請嘗試將硬碟全部格式化然後重新安裝系統。

4、什麼是木馬服務端?

首先應該明確的是受害者的機器上運行的木馬程序我們稱之為服務端,控制者機器上運行的我們稱之為客戶端(其實對於現代的木馬,已經很難說誰是客戶,誰是服務了,不過我們還是繼續用這種叫法)。另外雖然Windows9x仍然有巨大的用戶基礎,但是Windows9x向Windows XP遷徙只是早晚問題,所以這里的討論主要是針對NT/2000/XP平台的。

1.使用TCP協議,服務端偵聽,客戶端連接

這是最簡單,最早,最廣泛使用的一種通訊方案。使用過冰河或者被冰河客戶端掃過的對此一定不會陌生。這種通訊方案是服務端在宿主機器上開一個TCP埠,然後等待客戶端的連接,在通過對客戶端的認證後,客戶端就可以控制服務端了。由於是建立在TCP協議基礎上,所以通訊的可靠性是得到保證的。但是通訊的安全性卻很成問題。首先,使用像fport,tcpview pro這樣的工具可以很容易的發現在某一埠上偵聽的進程,以及進程對應的可執行文件。其次,在安裝了防火牆的機器上,當客戶端連接到服務端時,很容易引起防火牆報警。

2.使用TCP協議,客戶端偵聽,服務端連接

這就是所謂的反向連接技術了。為了克服服務端在某一埠上偵聽易被發現這一缺點,現在服務端不再偵聽埠,而是去連接客戶端在偵聽的某一埠。這樣用一般的port scanner或者fport就很發現不了服務端了。而為了更好的麻痹宿主機,客戶端偵聽的埠一般是21,80,23這種任何人都要訪問的埠。雖然在安裝了防火牆的機器上,服務端去連接客戶端還是要引起防火牆報警,但是一個粗心的用戶很可能會忽略「應用程序xxxxx試圖訪問xxx.xxx.xxx.xxx通過埠80」這樣的警告。

這種反向連接技術要解決的一個問題是,服務端如何找到客戶端。由於一般客戶端都是撥號上網的,沒有一個固定的IP,所以客戶端IP不可能硬編碼在服務端程序中。當然由於撥號上網用戶的IP一般都是處於一個固定的IP地址范圍內,服務端也可以掃描這個范圍,然後根據被掃描主機的反饋來確定是否是自己的客戶端,但是服務端掃描一個IP地址范圍也太……另一個方法是客戶端通過一個有固定IP或者固定域名的第三方發布自己的IP,實現的方法就很多了,比如通過一個公共的郵箱,通過一個個人主頁,就看你有多大的想像力的。

3.使用UDP協議,服務端偵聽,客戶端連接;客戶端偵聽,服務端連接

方法和安全性與使用TCP協議差不多。需要注意的是UDP不是一個可靠的協議,所以,必須在UDP協議的基礎上設計一個自己的可靠的報文傳遞協議。

4.解決防火牆問題,無論是服務端被動偵聽,還是服務端主動連接,在服務端和客戶端試圖建立連接時都會引起防火牆得報警

畢竟粗心得用戶不會很多,所以,解決防火牆報警是服務端必須要解決的一個問題。一種方法是代碼注入,服務端將自己注入到一個可以合法的與外界進行網路通訊的進程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等)的地址空間中,然後或者可以以一個新線程的形式運行,或者只是修改宿主進程,截獲宿主進程的網路系統調用(WinSock)。後者的實現可能要麻煩一些。如果是以新線程的形式運行,那麼然後或者可以被動偵聽,或者可以主動連接。

無論哪種情況都不會引起防火牆的報警(當然不是百分之百不會引起防火牆報警)。但要注意的是如果是被動偵聽的話,比如寄生在IE內,用fport會發現IE在某一個埠偵聽,這有可能會引起細心的用戶的警覺。所以比較好得方法是在新線程內去主動連接客戶端,而且連的是客戶端的80埠;如果是寄生在OICQ內,何不連接客戶端的8000埠。使用代碼注入需要服務端具有若干特權,考慮到一般用戶都是以Admin身份啟動NT的,這應該不是一個問題(如果服務端是作為一個service啟動的話,就更沒問題了)。

5.再討論一下服務端主動連接時客戶端IP的公布問題

使用第三方公布客戶端IP不是一種可靠的方法。比如如果是通過一個個人主頁發布客戶端IP的話,一旦由於種種原因,這個個人主頁被主頁提供商取消的話,服務端就找不到客戶端了。而這種個人主頁被主頁提供商取消的可能性是很大的。同時客戶端也要冒暴露自己的IP的風險。所以更好的方法是客戶端通過某種方法主動告訴服務端自己的IP和埠,然後服務端來連接。這樣可以保證最大的可靠性,安全性和靈活性。

服務端怎麼收到客戶端的通知呢?一種方法是我們截獲其他進程收到的TCP數據或者UDP包,然後分析截獲的數據,從中確定是否客戶端發來了一個報告其IP的數據片斷。另一種方法是使用RAW socket來收聽ECHO REPLY類型的ICMP包,在ICMP數據包的數據去就包含了客戶端IP。而對於普通用戶來說,由於要上網瀏覽,這樣的ICMP包是很少過濾掉的。

6.用ICMP來通訊

既然客戶端可以通過發一個ICMP(ECHO REPLY)來告訴服務端它的IP,那為什麼不把所有服務端和客戶端的通訊都建立在ICMP的基礎上呢?服務端向客戶端發ICMP(ECHO REQUEST),客戶端向服務端發ICMP(ECHO REPLY),然後可以在ICMP基礎上建立一個自己的可靠數據報通訊協議。如果不怕煩的話,還可以建立一個TCP over ICMP。由於一般的用戶這兩類ICMP包都是設為無警告放行的,這種方法的隱秘性還是很強的。

7. 用自定義的協議來通訊

我們知道IP頭的協議欄位指定了這個IP包承載得數據的協議,比如TCP,UDP,ICMP等等。我們完全可以把這個欄位設為我們自己定義的值(>80),定義自己的通訊協議。不過估計這種IP包將會被所有的防火牆過濾掉。

8.關於伺服器上的木馬的通訊隱藏

前面所說都是針對個人用戶(大部分都是撥號用戶,包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。對這類機器來說,一般都沒有開什麼服務,而且一般都使用了個人防火牆,同時ICMP ECHO REPLY/REQUEST都是放行的,所有才有我們上述的各種方案。而對於伺服器來說,至少要開HTTP服務,同時,又一般位於專門的防火牆之後。這個專門的防火牆很可能過濾掉除類型為TCP,且目的埠為80的IP包之外的所有的IP包,更不要說各類ICMP包了。向下的方案通不過,我們可以試試向上的方案。一種方法就是注射到IIS服務的進程空間中,然後在IIS接受到木馬客戶端的請求前來個預處理,在IIS將數據發給木馬客戶端時來個後處理,不過我不知道怎麼實現,不知哪為高手知道。

通訊隱藏技術只是木馬隱藏諸技術中得一部分,但也是最重要的一部分。因為他不但要保護木馬,還要保護木馬得控制者,所以不管是木馬編寫者,還是防火牆編寫者,都應該對這一部分給於足夠的重視。

5、伺服器中木馬

建議安裝伺服器版的殺毒軟體來解決這個問題,如伺服器版的金山毒霸,定期殺毒即可。

6、怎麼清除伺服器上的隱藏木馬病毒

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了

7、木馬主犯c&c伺服器是什麼意思

遠程命令和控制伺服器,目標機器可以接收來自伺服器的命令,從而達到伺服器控制目標機器的目的。該方法常用於病毒木馬控制被感染的機器。

8、伺服器中了嚴重的木馬

雖然現在市面上有很多新版殺毒軟體都可以自動清除大部分[木馬],但它們並不能防範新出現的[木馬]程序。因此,查殺木馬,最關鍵的還是要知道[木馬]的工作原理。相信你看了這篇文章之後,就會成為一名查殺[木馬]的高手了。
木馬程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。只要把Form的Visible屬性設為False,ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為[系統服務]可以很輕松地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊[木馬]圖標來運行服務端,[木馬]會在每次用戶啟動時自動裝載。Windows系統啟動時自動載入應用程序的方法,[木馬]都會用上,如:啟動組、Win.ini、System.ini、注冊表等都是[木馬]藏身的好地方。
下面具體談談[木馬]是怎樣自動載入的。在Win.ini文件中,在[WINDOWS]下面,和[load=]是可能載入[木馬]程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面應該什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中[木馬]了。當然你也得看清楚,因為好多[木馬],如[AOL Trojan木馬],它把自身偽裝成command.exe(真正的系統文件為command.com)文件,如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在下面有個[shell=文件名]。正確的文件名應該是[explorer.exe],如果不是[explorer.exe],而是[shell= explorer.exe程序名],那麼後面跟著的那個程序就是[木馬]程序,就是說你已經中[木馬]了。
注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:[HKEY-LOCAL-ACHINE\Software\Microsoft\Windows\CurrentVersion\Run]目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的[木馬]程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如[Acid Battery v1.0木馬],它將注冊表[HKEY-LOCAL-MACHINE\SO FTWARE\Microsoft\Windows\CurrentVersion\Run]下的Explorer鍵值改為Explorer=[C:\WINDOWS\expiorer.exe],[木馬]程序與真正的Explorer之間只有與[l]的差別。當然在注冊表中還有很多地方都可以隱藏[木馬]程序,如:[HKEY-CURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run]、[HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run]的目錄下都有可能,最好的辦法就是在[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下找到[木馬]程序的文件名,再在整個注冊表中搜索即可。
知道了[木馬]的工作原理,查殺[木馬]就變得很容易,如果發現有[木馬]存在,最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,程序]或[load=[木馬]程序]更改為和[load=];編輯system.ini文件,將下面的[shell=『木馬』文件],更改為:[shell=explorer.exe];在注冊表中,用regedit對注冊表進行編輯,先在[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下找到[木馬]程序的文件名,再在整個注冊表中搜索並替換掉[木馬]程序,有時候還需注意的是:有的[木馬]程序並不是直接將[HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的[木馬]鍵值刪除就行了,因為有的[木馬]如:BladeRunner[木馬],如果你刪除它,[木馬]會立即自動加上,你需要的是記下[木馬]的名字與目錄,然後退回到MS-DOS下,找到此[木馬]文件並刪除掉。重新啟動計算,然後再到注冊表中將所有[木馬]文件的鍵值刪除。至此,我們就大功告成了。

9、木馬病毒是一個客戶端一個伺服器端嗎

您好


1,如果是遠程式控制制病毒的話,是通過控制台來控制的。


2,不過一般的例如自動關機、盜號木馬就單單屬於一個文件。


3,防止電腦中毒的辦法很簡單,就是到騰訊電腦管家官網下載一個電腦管家。


4,電腦管家擁有16層實時防護功能,可以從上網安全、應用入口、系統底層等全方位保護您電腦安全,針對各種黑客遠控病毒等,電腦管家都有很強的針對防護能力。

如果還有其他疑問和問題,歡迎再次來電腦管家企業平台進行提問,我們將盡全力為您解答疑難

10、伺服器中木馬了。怎麼辦

任務管理器裡面

用戶選項卡裡面,

你登陸只顯示你電腦的計算機名或網路名,

如果顯示多個肯定就有多人登陸了!

建議修改管理員密碼和查找刪除可疑帳戶!

與木馬伺服器相關的知識