|
| 关于中了鸽子后的反入侵跟踪 |
|
| 作者:小亚 文章来源:安全在线 点击数: 更新时间:2007-8-14 14:09:44 |
|
| <p>1.由于习惯常在cmd下用netstat -an命令发现了一个奇怪的连接:<br/> TCP 192.168.0.8:3155 220.176.15.46:1986 ESTABLISHED<br/> TCP 192.168.0.8:3156 61.145.121.115:80 ESTABLISHED<br/><br/>当时我是没有开任何的浏览器。。看到熟悉的80就引起注意了。鉴于近来鸽子乱飞。。第一时间就怀疑到是中了鸽子。</p><p>2.用鸽子专杀工具查下是否中了鸽子</p><p>3.判断80端口的是鸽子的访问地址。用于定位入侵者的ip及端口<br/>马上扫80端口的机子<br/><br/>d:\hacker\ipc>s tcp 61.145.121.115 1-6000 1024<br/>TCP Port Scanner V1.1 By WinEggDrop<br/><br/>Normal Scan: About To Scan 6000 Ports Using 1024 Thread<br/>61.145.121.115 80 Open<br/>Scan 61.145.121.115 Complete In 0 Hours 0 Minutes 21 Seconds. Found 1 Open Ports<br/><br/>但是用ie打开提示:<br/><br/>找不到网页 <br/>您要查看的网页可能已被删除、名称已被更改,或者暂时不可用。 <br/><br/>--------------------------------------------------------------------------------<br/><br/>请尝试以下操作:<br/><br/>如果您已经在地址栏中输入该网页的地址,请确认其拼写正确。<br/><br/>打开 61.145.121.115 主页,然后查找指向您感兴趣信息的链接。 <br/>单击后退按钮,尝试其他链接。 <br/>单击搜索,寻找 Internet 上的信息。 <br/><br/><br/><br/>HTTP 404 - 未找到文件<br/>Internet Explorer <br/><br/>ip138.com IP查询(搜索IP地址的地理位置) <br/>您查询的IP:61.145.121.115 <br/>查询结果1:广东省 广州市 电信<br/>查询结果2:广东省广州市 ADSL<br/><br/><br/><br/>估计。。中转的机子可能是网吧的服务器之类的非http服务器。。要想从中转机入手找入侵者。。在这卡住。<br/><br/>4.看一下入侵者的地理:<br/>ip138.com IP查询(搜索IP地址的地理位置) <br/>您查询的IP:220.176.14.66 <br/>查询结果1:江西省 赣州市 电信<br/>查询结果2:江西省赣州市 (安远县)ADSL<br/><br/>5.打开procexp.exe。。密切注意开启的进程。把可疑的关了。<br/><br/>6.尝试用net send 220.176.14.66 “what do you want to do?"<br/>提示失败。<br/><br/>7.据说还可用sniffer之类的看对方取了些什么数据。。但是我不会看抓包下来的数据。<br/><br/>8.还有什么其它的方法可以抓到入侵者或者说入侵??欢迎大家来讨论!! </p>
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: 谨防灰鸽子远程控制计算机 窃取用户信息
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)