现在的位置: 首页 > 综合 > 正文

拒绝服务后门独裁者的手工清除

2012年02月06日 ⁄ 综合 ⁄ 共 2362字 ⁄ 字号 评论关闭
                                                                  作者:赛冰河
      今年8月1号,曾宣起了攻击小日本的一个小浪潮,但我看了一下,大多被攻破的
是小网站,由于大网站的防御能力较强,所以可能较为有效一点的的一种攻击方法就只有
是拒绝服务攻击了。因为DOS我认为它是一种技术含量较低的攻击方法。另外可以说也是
损人不得已的攻击。但是它真的算得上简单实用,见效快,难防御。因此也受到了大多人
在没有办法时的最好办法。DOS主要是利用了TCP/IP的一些弱点而进行的。
     
      
       首先我们来看看DOS的定定义,英文中是DENIAL OF SERVICE 所以把它简称为DOS
中文我引用四川大学信息安全研究所的一本信息安全体系的书中的定义是:是信息或信息
系统资源的被利用或服务能下降或丧失的攻击。说到底,就是提供服务能力出现问题。

      好了,我今天主要讲的是如何清除DOS的后门,也就是被控制端,当然再在最常见
的是利用用DDOS,分布式拒绝服务,这样的攻击效果明显,但这就要涉及到一个攻击端的
安装问题,所以就要有大量的肉机,我试了,在攻击时的肉机一般是能达到CPU的100%的
使用率,所以当你的电脑在CUPCPU的100%的使用率的时候,一定要看看是出了什么问题了
也许你就充当了攻击都的角色哟

     今天我说的是清除独裁者Autocrat1.21.36(你可以用GOOGLE就可找到,很好用的)
是由2002年HBU小组开发的,它是一个图形界面的控制端功能强大,包括了SYN FLOOD、
 LAND、 FAKEPING 、狂怒PING这几种常见的拒绝服务攻击分为客户端与服务端两部分,
客户端即为控制端(由控制者使用),服务端为被控制端(由被控制者使用),客户端可
以根据情况,向服务端发送攻击命令,让服务端攻击谁,服务端就会攻击谁。但是不好的
是只是中了的服务端的机子,任何人都可控制,主是是它没有设定密码控制的方式。

   中了独裁者它会开一个端口,与第一代木马一样,它是被动连接型的,开的端口是
8535,所以说,只要你看到你的机子开了这个端口,就该小心一下了,不是你就成为攻击
者了都不知,搞不好哪天别人找上门来,你还不知为何呢,它的服务端为server.exe
客户端为Client,要是你要看看你中了没有的话,一就是看端口,二是就下载一下客服端
自己连127.0.0.1这个IP也就是你的,若出再这个
----------------------------------------------------------------------------
127.0.0.1 连接成功,发送登陆信息
127.0.0.1 - Autocrat DDoS Server ready...Login@billgates
-----------------------------------------------------------------------------
 
那就恭喜你,你中了,哈哈!不信你自己试试,还能自己给自己发消息呢!

    下面跟着我来清除吧!

   1.找个查看端口的工具,同时主要是要求能杀掉进程的,我建议你们可用一下安天
实验室的aproman,(如何找这个工具我想不关我的事了吧!),其实在你的CMD下你也可用
netstat -an这个命令了可看到开了8535这个端口的,然后我们用aproman 这个工具找
到该进程的进程命令是: aproman -a
       停止进程命令是: aproman -t id

  2.在开始---》运行,输入regedit进入注册表,查找到SERVER 我导出时的用记事本
打开时内容为:
-----------------------------------------------------------------------------
          Windows Registry Editor Version 5.00

[HKEY_USERS/S-1-5-21-1645522239-1993962763-1708537768-1006/Software/Microsoft/
Search Assistant/ACMru/5603]
"000"="myddos"
"001"="wsock32p.dll"
"002"="wsock32l.dll"
"003"="wsock32s.dll"
------------------------------------------------------------------------------

我的是在XP下把并把SERVER改名为MYDDOS了的,所以看到的是这个,然后我们把这几个值都
把它删了。

   3.打开开始----》搜索查找这几个文件:
C:/WINNT/system32/wsock32s.dll
C:/WINNT/system32/wsock32l.dll
C:/WINNT/system32/wsock32p.dll
把它们也删了,你可以看一下它们的属性,看看时间你就知是什么时候中的了。

   4.我是XP所以在,c:/windows/system32/wupdmgr32.exe把这个文件wupdmgr32删掉吧
仔细的看看。是不是与旁边那个文件wupdmgr只相差一点点呀。它在进程里是wupdmgr32
你要先杀掉才可删。

   5.打开在开始---》运行,输入MSCONFIG找到服务那个南宁字样SERVER前的勾去掉。
禁止该服务。

      好了,到此也就结束了,要是该文有什么问题的话,请您给我说一下
我的联系方式:QQ 18184412  EMAIL anmeihong@sina.com
     

抱歉!评论已关闭.