论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-08-18 16:56 |只看该作者 |倒序浏览

因为系统被入侵了，我使劲浑身解数都找不到他是怎么进来的。
我的系统是IIS5.0 +sql2000, MD邮件系统，杀毒软件装的是卡巴斯基，防火墙用的是blackice。

之前我查到过被安装了Radmin远程控制程序。被我删掉以后本来以为没事了。
可是又发现我的用户里面会多出一个陌生的账号。

请各位大哥帮帮我，告诉我有什么方法能检测系统是否有后门！！！！！！

谢谢了！！！！！！！！！！

我这2个星期食不下咽，目前服务器＝落在他人之手，如果他发彪，我的数据可能会遭破坏，虽然我已经备份了数据，但是要重装系统和安装补丁，配置服务器要花很长的时间。

再次恳求高手帮忙！！！！！！！！！！！！！！

文库|博客

saman

稍有积蓄

论坛徽章:: 0

2楼 [报告]

发表于 2005-08-19 08:55 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

检查脚本木马

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

vikingwo

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2005-08-19 09:39 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

能不能说的稍微具体点？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

思一克

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2005-08-19 12:51 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

win2000?
用的是

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

aib

丰衣足食

论坛徽章:: 0

5楼 [报告]

发表于 2005-08-19 13:26 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

你要找出你的漏洞所在，这样才能治标..

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ayazero

荣誉版主

论坛徽章:: 0

6楼 [报告]

发表于 2005-08-19 15:42 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

进程、服务、文件、注册表、自启动项、内核隐藏进程、开放端口，webshell后门，文件时间戳等……

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

撒哈拉里的鱼

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2005-08-19 22:08 |只看该作者

【求助】谁能给我一个详细的方法来检查系统是否存在后门

1.文本格式后门

主要是一些脚本后门，这些可以使用字符串搜索来进行查找，查找一些关键字就可以了。

2.二进制后门

首先是普通后门，指那些不能隐藏文件，不能隐藏服务的。这些比较容易找。最低级的是要开端口的，用fport就可以，包括tcp和udp后门。其次某些不看端口的，比如PortLess这些，他们还是有服务，看看服务就一清二楚了。一些反向连接的，一般也都有服务，包括那些流行的远程线程插入类型在内（也有的远程线程插入后门没有服务，不过这种后门怕直接断电，恶意关机）。

再就是比较高级点的rootkit了，目前比较流行的hxdef是ring3下面的，查找也不难，IceSword能够对付目前大多数的rootkit，类似的查找工具也很多。还有hkdoor也差不多这样对付，以及ntrootkit

3.特殊后门

这些就是那些比较灵活点的人使用的后门了（不包括没有公开的rootkit），比如克隆帐号，MS SQL SERVER存储过程，MySQL自定义函数，IIS Extension Door，IIS Filter Door这些。这些后门就只有你根据自己开放的服务，来灵活应对了。