IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

“合法”的系统后门

2006年04月11日
/
rcmdsvc.exe是Windows 2000 Resource Kit(资源工具包)中的一个小工具,是用来开启Remote Command Service(远程命令服务)服务用的,这个服务开启的端口是445,与Win2k系统的Microsoft-DS服务开的端口一样,因为是Microsoft发布的服务,所以根本没有杀毒软件会认为这是病毒或者木马,因此不少入侵者都把这个服务作为入侵后留下的后门使用。下面我就详细的讲一下如何安装和伪装这个服务。
安装:假设入侵服务器后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盘根目录下,在cmd窗口里输入:rcmdsvc –install,回车后,即可看到Remote Command Service服务安装成功的提示,如图一:

图一
这时在“控制面板”---“管理工具”---“服务”里,就可以看到这个服务了,如图二:

图二  图中选取的暗条就是还没有伪装过的rcmdsvc服务
从图二可以看到该服务并没有启动,还需要我们来启动该服务,启动这个服务我们可以使用系统自带的net命令,在cmd窗口里输入:net start rcmdsvc,回车,我们可以看到Remote Command Service服务开始启动和成功,如图三:

图三
下面我们就可以用Windows 2000 Resource Kit中的rcmd.exe小工具进行远程连接了,并且连接后拥有管理员权限,可以添加管理员用户,如图四:

图四
下面该sc.exe(Service Control的缩写)出场了,这个工具是在命令行方式下管理系统中的服务的,在Windows 2000 Resource Kit或者Winxp中都可以找到该工具,来看一下sc.exe是如何把Remote Command Service服务伪装成Messenger这个服务的:
1、 删除Messenger服务。在cmd窗口里输入:sc delete Messenger,回车,可以看到命令完成,如图五:

图五
2、 把Remote Command Service服务该名为Messenger,在进行这步前,需要重新启动一下。在cmd窗口里输入:sc config rcmdsvc DisplayName= Messenger,回车,可以看到命令完成,如图六:

图六
这时候我们到“控制面板”---“管理工具”---“服务”里,就可以看到Remote Command Service服务名变成了Messenger,如图七: 

图七
但是“描述”的内容为空,为了使这个服务看起来更“合法”,我们把Messenger的“描述”也加上,在cmd窗口里输入:sc description rcmdsvc 发送和接收系统管理员或者“警报器”服务传递的消息。我们到“服务”里就可以看到rcmdsvc 的“描述”被加上了Messenger的“描述”,如图八:

图八  伪装过的Remote Command Service服务
只不过服务名称还是rcmdsvc。
3、再重新用net start命令启动一下rcmdsvc服务,就可以用rcmd.exe进行连接了。
总结:由于被入侵方需要满足IPC$开启和没开防火墙等条件,而现在大多数的网络服务提供商已经把139和445端口屏蔽掉了,所以这种后门方式在局域网中比较常用。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点