怎样查出木马的操纵者?
公司的局域网里,总有几个人在搞恶作剧,把很多机器种上了木马,后来演变到随意删除系统文件,给维护人员增加了工作量,怎样才能查出是谁种下的木马,或是谁在操纵这个木马?
最好能说得详细点,谢谢!
问题点数:100、回复次数:9Top
1 楼zhllwarez(星夜听松,冷月伴青灯)回复于 2003-09-02 11:12:28 得分 10
1、无论使用什么方式先查明是什么木马,知其特性
2、了解木马使用端口,根据木马性质是主动连接式还是被动连接式决定对策
3、根据端口,如果是主动式木马,监控木马客户端主动连接哪个IP地址,如果是被动式木马,可以先把木马客户端清除并在其使用端口设置一个Huney Port,记录哪个远程主机连接该端口。
4、根据入侵者IP采取相应对策Top
2 楼zhllwarez(星夜听松,冷月伴青灯)回复于 2003-09-02 11:16:09 得分 10
纠正:客户端应为服务器端,即被恶意安装隐秘运行提供被控服务的程序。Top
3 楼zhllwarez(星夜听松,冷月伴青灯)回复于 2003-09-02 11:18:10 得分 10
纠正:客户端应为服务器端,即被恶意安装隐秘运行提供被控服务的程序。Top
4 楼sdwan(清风追月)回复于 2003-09-02 11:27:41 得分 10
请问楼上的,主动和被动式中都是在服务器端采取措施3吗?Top
5 楼LiJxin(黎叔)回复于 2003-09-11 12:31:26 得分 10
关注中,请高手们能详细做答!Top
6 楼304040332522(贫如洗)回复于 2003-09-11 13:01:52 得分 10
有些木马是释放固定端口给外界所有人的吧?使用木马破坏机器的未必是当初放木马的人Top
7 楼sungod8(琤) (Heros Ⅲ 凤凰)回复于 2003-09-11 13:18:42 得分 10
同意楼上,不过你网里的机器就这么容易中???所有人都能随意操作所有的机器??如果每台机器的密码是保密的,都有安全设置,补丁都打全了,怎么可能随便就中木马???Top
8 楼ssjc(其实我很强!)回复于 2003-09-11 14:01:28 得分 10
如果只是在局域网找哪个人,那就先查明木马的信息后,扫描,找IP, 锁定Top
9 楼jy2004(默默等待)回复于 2003-09-11 14:05:57 得分 10
对局域网内部的所以信息进行流量分析,流量异常的ip地址可以进行检测。
最好每台机器加密码,设置防火墙。Top
10 楼zhllwarez(星夜听松,冷月伴青灯)回复于 2003-09-11 14:14:56 得分 10
主动和被动式中都是在服务器端采取措施3吗?
我说的应该很清楚了呀,
如果是主动式木马,监控木马客户端主动连接哪个IP地址,可以用软件防火墙的应用程序访问网络控制,当它访问网络时提示。
如果是被动式木马,可以先把木马客户端清除并在其使用端口设置一个Huney Port,记录哪个远程主机连接该端口。
当然前提是你必须知道这个木马的特性。Top
