找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1726|回复: 10
收起左侧

奇怪的事,怀疑是木马

[复制链接]

该用户从未签到

发表于 2005-6-11 05:06 | 显示全部楼层 |阅读模式
   整个网络本来是好好的,突然局域网内所有的机器通过网上邻居互访的时候,奇慢,一直作搜索状。这种状态下约有3-5分钟,才可以看见网络里其他的机器。以前一切正常。
   我用最新版的杀毒软件杀毒,提示所有硬盘/内存/引导区/都是无毒的。防火墙主机装了,也没见有什么异样提示。我下面的动作就是选择了一台副机FORMAT了,系统装好,装了网卡驱动后,再次打开网上邻居,访问其他机器的时候,一下子就变得跟以前一样的迅速[注:只安装了默认的TCP/IP协议]。装一些常规的软件,机器运行后一直很流畅。
   但是,在机器添加了NETBLU协议和SPX/IPX协议重新启动后,机器又变得看不见网上邻居了,只是跟以前一样要等待很长时间才可以看见!且机器运行的时候会经常性的卡机。
   谁知道这是什么原因?病毒?木马?还是其它什么原因?网卡里的这三个协议我以前一直都是加着的。只是昨天突然出现了这样的情况,哎!
   对了,主机可以很轻松的搜索到下面其余的机器,打开网络邻居的页面也很快。就是下面的机器互访/搜索或者访问主机尤其艰难!!

该用户从未签到

发表于 2005-6-11 09:30 | 显示全部楼层

奇怪的事,怀疑是木马

我电脑提示发现有漏洞攻击,用一会儿就死机,怎么办啊???????????
回复 支持 反对

使用道具 举报

该用户从未签到

发表于 2005-6-11 20:49 | 显示全部楼层

奇怪的事,怀疑是木马

我的也是  不过我用3721搞了一下 就再没发生这样的提示了,大家不妨也试一试。
回复 支持 反对

使用道具 举报

  • TA的每日心情
    开心
    2017-7-9 18:13
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2005-6-11 20:58 | 显示全部楼层

    奇怪的事,怀疑是木马

    是98网络吗?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2005-6-11 21:53 | 显示全部楼层

    奇怪的事,怀疑是木马

    下面引用由zdzd88882005/06/11 08:58pm 发表的内容:
    是98网络吗?
    注:主机XP1,下面全是98,我试着关闭主机,结果下面的所有机器互连速度就恢复了,跟以前一样快。不关主机的时候,下面之间的机器都难以互相打开。
    可以肯定的是问题在主机这里了。我自己分析了,杀毒,没。木马查杀,也没。主机网络设置一直都是这样,没谁动过,以前都很正常的,为什么突然就这样了喃。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-7-9 18:13
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2005-6-11 22:06 | 显示全部楼层

    奇怪的事,怀疑是木马

    [这个贴子最后由zdzd8888在 2005/06/11 10:08pm 第 1 次编辑]

    hehe ~~
    kankanxiamianzhepianwenzhangba ~
    1.什么是浏览列表(Browsing List) 在微软网络中,用户可以在浏览列表里看到整个
    网络(何指?子网还是广播域?大家可以考虑考虑)上所有的计算机。当你通过网上邻
    居窗口打开整个网络时,你将看到一个工作组列表,再打开某个工作组,你将看到里面
    的计算机列表(也可在 DOS方式下用net view /domain:workgroupname命令得到),这
    就是我们所说的 Browsing List。工作组从本质上说就是共享一个浏览列表的一组计算
    机,所有的工作组之间都是对等的,没有规定不可以让所有的计算机同处于一个工作组
    中。
    2.浏览列表在哪里 曾在木棉上看到过一场争论,有人说:网上邻居里的计算机列表是
    广播查询得来的。可有人举反例说:我的同学都关机了,可我还是能在网上邻居里看到
    它,应该是从HUB或交换机之类较为固定的设备的缓存中取得的。 其实他们都只说对了
    一个方面,把他们二人的说法结合起来就是正确答案了--- 浏览列表是通过广播查询浏
    览主控服务器,由浏览主控服务器提供的。
    3.浏览主控服务器又是什么 浏览主控服务器是工作组中的一台最为重要的计算机,它
    负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其
    他计算机和其他来访本工作组的计算机提供浏览服务,每个工作组都为会每个传输协议
    选择一个浏览主控服务器,而我们经常遇到的无法浏览网络的错误大多是因为你所处的
    工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a
    computername 命令找出使用NBT协议的浏览主控服务器,它的标识是含有\\_MSBROWSE_
    名字段。
    4.浏览主控服务器是如何指定的 缺省情况下,win98工作组中的浏览主控服务器是该工
    作组中第一台启用文件及打印机共享功能的计算机,也允许手工将一台win计算机配置
    为浏览主控服务器(方法会在后面讲述网络配置时具体介绍,但由于浏览主控服务器需
    要维护动态浏览列表,性能会受影响),如果一个工作组中有多台计算机配置了这个选
    项,或是当前的浏览主控服务器关闭了系统,又没有其他计算机启用主控设置时,就要
    进行主控浏览器的选举。
    5.如何通过浏览器选举产生浏览主控服务器 关于浏览器的选举报文,不太好抓包,我就
    只好按书上的东西来讲述了.其实过程很简单,首先由一台计算机发送一个选举临界报文
    ,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广
    播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系
    统起主要作用,记得好像是NT Server>NT Workstation>Win98>WFWG,反正到最后是那个
    自身条件最好的成为新的浏览主控服务器.
    6.整个网络浏览的过程是怎样的 当一台win98进入网络时,如果它带有服务器服务(启
    用了文件及打印机共享)会向网络广播宣告自己的存在,而浏览主控服务器会取得这个
    宣告并将它放入自己维护的浏览列表中;而没有在相应协议上绑定文件及打印机共享的
    计算机则不会宣告,因而也就不会出现在网络邻居里了。当客户计算机想获得需要的网
    络资源列表时,首先会广播发出浏览请求,浏览主控服务器收到请求后,如果请求的是
    本组的浏览列表,则直接将客户所需的资源列表发回;如果请求的是其它工作组的浏览
    列表,浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览
    器返回给用户,用户可从那里得到它想要的浏览列表。至于如何去和另一台计算机共享
    交换资源,就不是我们这里要讨论的问题了。
    明白了网络浏览的原理,下面我给大家讲一个有用的应用,现在很多同学出于安全的考
    虑都不太欢迎陌生人通过网上邻居访问自己的机子,可有时下部电影又需要给认识的同
    学共享出来,因而还不能删除文件及打印机共享服务。怎么办?有些人给共享名加个
    $,以达到隐藏的效果,可这用DOS下的net share是可被看到的;有些人给共享加上密
    码,可听说这也是有办法破解的,而且很容易激起“黑客同志”的好奇心。有没有办法
    将自己的机器在网络邻居里隐藏起来呢?而对于认识的同学可以让他用\\IP 来访问。
    想对了,关键就是要阻止自己的机器向网络中去宣告自己,而且我知道我们其中的一些
    人已经将此变成了现实,至于方法嘛,就不要来问我了。
    注:因为有关win98浏览服务的资料很少,涉及的书籍也多为以NT的“域”模型进 行介
    绍,因而我只能根据自己的理解结合netxray的实践来测试,细节部分难 免有错,欢迎
    大家指正。
    7.在我的网上邻居里为什么有些机子访问不了 如果微软的网上邻居真能做到所见即所
    得,相信抱怨它的人不会象现在这么多,可通过前面对浏览服务的介绍,大家已经知道
    这是不可能的,因为浏览列表的获得不是通过访问其中每一台机子得到的,很多时候网
    络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时,它会向网络发出广
    播宣告,使浏览主控服务器及时将它从浏览列表中删除;而非正常关机后,浏览列表里
    仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它
    的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了^-^
    SMB(Server Message Block)协议在NT/2000中用来作文件共享,在NT中,SMB运行于
    NBT(NetBIOS over TCP/IP)上,使用137,139(UDP),139(TCP)端口。在2000
    中,SMB可以直接运行在tcp/ip上,而没有额外的NBT层,使用TCP 445端口。因此在
    2000上应该比NT稍微变化多一些。
    可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT
    (NetBIOS over TCP/IP)。
    当2000使用网络共享的时候,就面临着选择139或者445端口了。下面的情况确定会
    话使用的端口:
    1、如果客户端启用了NBT,那么连接的时候将同时访问139和445端口,如果从445端口
    得到回应,那么客户端将发送RST到139端口,终止这个端口的连接,接着就从445端口
    进行SMB的会话了;如果没有从445端口而是从139得到回应,那么
    就从139端口进行会话;如果没有得到任何回应,那么SMB会话失败。
    2、如果客户端禁用了NBT,他就将只从445端口进行连接。当然如果服务器(开共享
    端)没有445端口进行SMB会话的话,那么就会访问失败了,所以禁用445端口后,对访
    问NT机器的共享会失败。
    3、如果服务器端启用NBT,那么就同时监听UDP 137、138端口和TCP139,445。如果禁
    用NBT,那么就只监听445端口了。
    所以对于2000来说,共享问题就不仅仅是139端口,445端口同样能够完成。

    III、The NULL session,关于空会话
    NULL会话(空会话)使用端口也同样遵循上面的规则。NULL会话是同服务器建立的
    无信任支持的会话。一个会话包含用户的认证信息,而NULL会话是没有用户的认证信
    息,也就好比是一个匿名的一样。
    没有认证就不可能为系统建立安全通道,而建立安全通道也是双重的,第一,就是
    建立身份标志,第二就是建立一个临时会话密匙,双方才能用这个会话进行加密数据交
    换(比如RPC和COM的认证等级是PKT_PRIVACY)。不管是经过NTLM还是经过Kerberos认
    证的票据,终究是为会话创建一个包含用户信息的令牌。(这段来自Joe Finamore)
    根据WIN2000的访问控制模型,对于空会话同样需要提供一个令牌。但是空会话由于
    是没有经过认证的会话,所以令牌中不包含用户信息,因此,建立会话双方没有密匙的
    交换,这也不能让系统间发送加密信息。这并不表示空会话的令牌中不包含SID,对于
    一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话建立的SID,用户名是
    ANONYMOUS LOGON。这个用户名是可以在用户列表中看到的。但是是不能在SAM数据库中
    找到,属于系统内置的帐号。
    (关于这部分对NULL SESSION的分析,可以参照:《NULL Sessions In
    NT/2000》http://rr.sans.org/win/null.php)
    NULL会话几乎成为了微软自己安置的后门,但是微软为什么要来设置这样一个“后
    门”呢?我也一直在想这个问题,如果NULL会话没有什么重要的用途,那么微软也应该
    不会来设置这样一个东西。好不容易才在微软上找到这个:
    当在多域环境中,要在多域中建立信任关系,首先需要找到域中的PDC来通过安全通
    道的密码验证,使用空会话能够非常容易地找到PDC,还有就是关于一些系统服务的问
    题。而且LMHOSTS的#Include就需要空会话的支持,可以参考文章:
    http://support.microsoft.com/default.aspx?scid=kb;EN-US;q121281
    还有http://support.microsoft.com/default.aspx?scid=kb;EN-US;q124184
    其实建立一个空会话的条件也非常严格。首先要能够满足上面的,也就是打开TCP
    139和TCP 445端口。我们可以从一次关闭这两个端口的情况中看得出来。服务器关闭
    445和139端口,然后我们来进行空会话的连接。首先,客户端打算
    连接的是445端口,然后再试图连接139端口。当然最后还是失败了。
    仅仅开放这两个端口还不行,服务器还必须得打开IPC$共享。如果没有IPC共享,即
    使共享一个文件,有权限为Anonymous Logon,也不能建立会话,即使权限设置为完全
    控制,出现的连接错误依然是权限不够。这和其他帐号是不一样的。如果要允许一个文
    件夹共享能够类似IPC$(命名管道而非共享)能够使用空会话,那么需要修改注册表:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
    \中的:NullSessionShares,
    添加新的共享名,这样才能建立一个共享的空会话。这时,将不依赖IPC的存在了。
    (即使这样的空会话对于后面的突破也是一点没可取之处的,因为没有了IPC$命名管
    道,RPC不可取了,这下知道IPC这个命名管道的具体实现了。呵呵)
    虽然空会话建立的要求很严格,但是那都是默认建立的。既然是默认的,对于使用
    WIN2K系统的服务器来说,就还是有利用的价值。最明显的就是空会话可以很方便地连
    接到其他的域,枚举用户、机器等。这也就是扫描软件进行探测的原理。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2005-6-11 22:13 | 显示全部楼层

    奇怪的事,怀疑是木马

    谢谢,我看我还是先恢复次系统再说。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-7-9 18:13
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2005-6-11 23:21 | 显示全部楼层

    奇怪的事,怀疑是木马

    hehe ~这个其实是一个不算BUG的BUG~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2005-6-11 23:41 | 显示全部楼层

    奇怪的事,怀疑是木马

    看了头晕
    不看了,嘿嘿
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2023-4-15 08:35
  • 签到天数: 462 天

    连续签到: 1 天

    [LV.9]以坛为家II

    发表于 2005-6-12 10:59 | 显示全部楼层

    奇怪的事,怀疑是木马

    昨天的反了,换了一个软件,只能做的简单一点了。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2005-6-12 11:16 | 显示全部楼层

    奇怪的事,怀疑是木马

    呵呵,谢谢,这样就行了,太花俏了反倒不好,我且先收下了,回头喝酒。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

    GMT+8, 2024-11-16 02:27 , Processed in 0.081632 second(s), 19 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表