入侵者把远程终端的端口和显示名称及描述都改了，可是服务名称还是没有改到，所以并不难找出来。

服务名称还是把入侵者出卖了，找到这些后门后，先停服务，再把启动类型改为禁用！

接下来我们就要把我们进来时的漏洞堵上，到google搜下，这是有关ＭＳＳＱＬ这个溢出漏洞补丁的相关信息：

厂商补丁：Microsoft已经为此发布了一个安全公告（MS02-039）以及相应补丁:

MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable CodeExecution 

(Q323875)链接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

补丁下载：* Microsoft SQL Server 2000:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

下载后展开，得到ssnetlib.dll这个文件，这时只要dir ssnetlib.dll /s找出主机中所有的老ssnetlib.dll这个文件，改名后以新的ssnetlib.dll替换掉老ssnetlib.dll就把MSSQL这个溢出漏洞补上了。

命令行下：query user，用户是guest，嗯，估计是被克隆过的用户。

查下是不是，果然！感觉补漏工作应该做得差不多了，也是时候跟入侵者say byebye了～

命令行下：net user guest /active:no，把guest这个用户禁用。

命令行下：logoff 1。

入侵者已经被我们踢出去了，现在是检验我们劳动成果的时候了，静静地netstat –an，看入侵者是否还能重新进来，过了好一会，发现他连接到主机1433端口，而且guest用户又被重新激活，奇怪了，明明ＭＳＳＱＬ溢出漏洞已经补上了啊，。难道入侵者在ＭＳＳＱＬ中留了后门？不会啊，都是几个很正常的用户。思考中……哦！对了，入侵者可能自行改了ＳＡ的密码，然后再利用ＳＡ的xp_shell重新取得权限！好，既然我们想到了这步，就把ＳＡ的xp_shell也去掉，断入侵者的后路！

要把ＳＡ这类用户的xp_shell去掉，要得到xp_shell，就得调用到xplog70.dll这个文件（ＳＱＬ９７下是xpsql70.dll），那么我们只要把这个文件给改名了，那么就无法得到xp_shell，命令行转到C:\Program Files\Microsoft SQL Server\MSSQL\Binn，ren xplog70.dll xplog70.bak（ＳＱＬ９７下ren xpsql70.dll xpsql70.bak）。

搞定，再次把入侵者踢出主机，哈哈～这次入侵者就再也没有进来过了。有人会说，原来反入侵就这么容易，那可就错了，我有位好友这样说过：“起服务名，是一门艺术。”确实，当你对电脑系统有了一定的认识后，服务名和显示名称和描述几乎可以起得以假乱真，即使管理员起了疑心，但也决不敢轻易卸载服务。

好了，反入侵告一段落，也到了我们该走的时候了。日志该改的就改，好好擦下自己的脚印，反入侵时上传的程序创建的文件夹记得别忘了删，创建的用户也得删，网管可分不清谁是谁。即使咱们帮他补洞，可咱本质上还是入侵者，呵呵～最后，在网站上找找网管的电子邮箱，写个大概经过给他，提醒他以后多多留意网络安全方面的最新消息。

上一页  [1] [2]