欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

误以为自己感染远控木马,看看我如何解决

来源:本站整理 作者:佚名 时间:2016-08-15 TAG: 我要投稿

事情起因呢,是我想要搞个edu,通过御剑一阵扫,发现了这个…………
http://www.myhack58.come//Article/1.txt
怀着好奇的心情打开看看,我操你妈,直接下载了,好歹你ie要问问我是不是要下载啊…………
下载完了,我又怀着好奇的心情打开了,我操你妈,乱码…………
然后我就关了记事本……
再然后…………

再然后,我点了下ie的查看下载,不看不要紧,一看吓死了,我操,我下载的这个1.txt呢???

首先,我想了灰鸽子的那个木马运行后自删除的功能,尼玛,会不会是别人把木马改成txt后缀,然后被本宝宝运行了…………顿时吓得一身冷汗……赶紧借u盘,把电脑里的片啊什么的存起来,准备重装系统……既然远控了,对吧,我肯定得和你服务器有联系吧,netstat -an看看端口,还有和哪些电脑有联系,发现了到时直接日了你服务器(注意,我想装逼了)netstat-an,上图,我的妈啊,怎么开了7000,8000端口啊,这是什么,百度之,我操,顿时吓了两身冷汗…………端口:7000 服务:[NULL] 说明:木马Remote Grab开放此端口。好像也就是冰河木马开的端口…………8000是qq开的,这个放心了

然后还是不死心,想看看是哪个进程,于是乎,先查查pid,netstat -aon|findstr "7000",发现pid为7800

然后再看看pid为7800的是哪个进程…………tasklist|findstr "7800"

我操,原来是酷狗,我操,你他妈的干嘛和冰河木马整一样的端口,吓死宝宝了

嗯,接下来那看看8000的是不是qq开的端口…………

大家如果觉得自己端口有异常的情况的话,可以通过这种方式查嗯,没中木马就好,你以为结束了吗???NO于是,我去我服务器,生成一个木马客户端,让我虚拟机走起来!!!看看端口是什么样的…………netstat-an上图
看到没,我电脑的1808和我服务器的2015端口建立了联系,被远控了

(服务器ip打码,请理解,我怕大牛们日我服务器

)我服务器的远控也提示上线了

是吧,如果你被远控的话,是可以看到对方服务器ip的,然后你去3389爆破,日死他
你以为完了吗,NO回虚拟机看看pid和进程


接下来呢,我们可以结束他,既可以在任务管理器结束,也可以通过命令结束

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载