黑客利用系統合法工具服務開啟入侵后門
黑客在入侵系統時,會利用一些操作系統自帶的工具,啟動系統服務為入侵留下后門,繞過安全軟件的檢測。
rcmdsvc.exe是Windows 2000 Resource Kit中的一個小工具,是用來開啟Remote Command Service服務的。這個服務開啟的端口是445,與Windows 2000系統的Microsoft-DS服務開的端口一樣。因為是Microsoft發布的服務,所以根本沒有殺毒軟件會認為這是病毒或者木馬,因此不少入侵者都把這個服務作為入侵后的后門使用。
下面將從入侵者的角度講一下這個服務的安裝、使用方法以及如何偽裝成另外一個服務,從而讓大家知道該如何防范。
安裝
假設服務器被入侵后,入侵者把以后需要用到的rcmdsvc.exe等一些工具都放到了C盤根目錄下,在cmd窗口里輸入:rcmdsvc -install,回車后,即可看到Remote Command Service服務安裝成功的提示,
這時在“控制面板”→“管理工具”→“服務”里,就可以看到這個服務了,如圖1所示。
 |
| 圖1 |
從圖1可以看到該服務并沒有啟動,還需要我們來啟動該服務,可以使用系統自帶的net命令,在cmd窗口里輸入:net start rcmdsvc,回車,我們可以看到Remote Command Service服務開始啟動和成功。
使用方法
下面我們就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進行遠程連接了,并且連接后擁有管理員權限,可以添加管理員用戶,如圖2所示。
 |
| 圖2 |
偽裝
下面該sc.exe(Service Control的縮寫)出場了,這個工具是在命令行方式下管理系統中的服務的,在Windows 2000 Resource Kit或者Windows XP中都可以找到該工具。來看一下sc.exe是如何把Remote Command Service服務偽裝成Messenger這個服務的。
1.刪除Messenger服務。在cmd窗口里輸入:sc delete Messenger,回車,可以看到命令完成。
2.把Remote Command Service服務改名為Messenger,在進行這步前,需要重新啟動一下。在cmd窗口里輸入:sc config rcmdsvc DisplayName= Messenger,回車,可以看到命令完成。這時候我們到“控制面板”→“管理工具”→“服務”里,就可以看到Remote Command Service服務名變成了Messenger。
但是“描述”的內容為空。為了使這個服務看起來更“合法”,我們把Messenger的“描述”也加上,在cmd窗口里輸入:sc description rcmdsvc 發送和接收系統管理員或者“警報器”服務傳遞的消息。我們到“服務”里就可以看到rcmdsvc的“描述”被加上了Messenger的描述。只不過服務名稱還是rcmdsvc。
3.再重新用net start命令啟動一下rcmdsvc服務,就可以用rcmd.exe進行連接了。
為了避免電腦被入侵,把不需要的服務都關閉掉,經常檢查一下開啟的服務和端口,如果您經過檢查發現您的電腦有rcmdsvc服務,或者該服務被偽裝成了別的服務,那就要小心了,說明電腦很可能被入侵了,并被別人安裝上了殺毒軟件無法查出的“合法”后門。
【編輯推薦】
