如何找到后台地址

　　虽然网上有很多网页有各种各样的安全漏洞，利用它们我们黑客可以暴出网站的账号和密码，但是经常会碰到找不到网站后台登录界面的情况，许多菜鸟做到这里就止步了。
　　但这还难不倒我，如果我暴出的账号分配的有DB_OWNER权限，我就可以利用DB的目录浏览权限来读取服务器目录，从而找到后台登录界面（当然完成这个过程需要一定的耐心），登录后即可上传木马了。
　　小提示：要上传木马，首先要成功找到网站系统后台地址，其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
　　首先在《啊D注入工具》（下载地址：http://www.cpcw.com/bzsoft）的“SQL注射检测”界面中，输入我们已经检测出该网站存在漏洞的网页地址，再点击“检测”按钮检测网站对应的信息，从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER（如图1）。如果网站的权限不是DB_OWNER就换一个网站试试。

B.找出后台地址
　　接着，我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”，在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看，发现系统的后台目录由Admin改成Admin_999。
　　现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp，并且利用先前已经得到的账号和密码进行登录就可搞破坏了。wwW.iTComPUTeR.cOM.CN如果运气不好，该网站的后台并没有数据库备份以及任何的上传功能，我们就无法上传ASP木马（如图2）。

C.巧用WebEditor上传木马
　　难道这样就算了？不！通过“目录查看”，在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器，网络编辑可以用它对网站进行编辑。
　　通过浏览器登录WebEditor（地址http://www.xxx.cn/WebEditor/admin_login.asp），接着在WebEditor的后台管理窗口中选择有编辑功能的样式，例如Standard，再点击后面的“拷贝”按钮复制该编辑样式（如图3）。

　　找到复制出的编辑样式后，点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮，选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接（如图4）。用浏览器打开ASP木马的链接，最终我们就可以控制这个网站了。

守：DB权限要严格分配
　　看了上面的讲解，是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标，再加上那么一点点的分析过程，就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢？
　　小编在这里提醒各位网站管理员，要定时到官方网站下载安全补丁，修复已知的网站系统漏洞，不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
　　当然，我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员，就可以分配DB_OWNER权限，以方便他对数据库进行备份操作。
　　如果仅仅是一些网络编辑的话，那么就可以不分配DB－OWNER权限。由于本身的权限很低，即使黑客得到这类账号和密码，想进行入侵都是非常困难的，从而有效地保护网站系统的安全。

 
如何清除红狼木马

　　最近有个网友通过QQ给我发了一个网页链接，因为QQ给这个链接显示了绿色盾牌，因此就直接点击，可是隔天上网后发现我的游戏装备被盗了。于是把这件事给同事说了，他感到很惊讶：“你的杀毒软件有主动防御功能，正常情况下当木马向系统或注册表添加信息的时候，主动防御都会弹出相应的提示窗口，难道你的杀毒软件没有任何提示吗？”

　　在检查了我的电脑后，他告诉我主动防御没有报警的记录。此外在进程管理器中他发现svchost.Exe进程老是向外发送数据。请问医生，这木马是怎么进入我电脑中的？我该怎么清除它？
病毒自述：我的眼中没有主动防御

　　我是一匹孤独的红狼，近期在网上独自作案。没错，就是我害的你，记住我的大名——“红狼远控”，帅得能绕过主动防御的“狼”！
　　由于我本身属于一款木马程序，因此主要还是通过网页木马、文件捆绑等方式来进行传播的。当我进入到远程用户的系统中后，首先自动恢复Windows系统的SSDT，这样就可以保证杀毒软件的主动防御立刻失效。接着我们自身会释放一个svchost.Dll文件到系统中的System32目录里面。
　　小提示：SSDT中文名为“系统服务描述符表”，杀毒软件的主动防御功能，就是通过它来改变程序的运行规则，从而对程序的可疑行为进行判断和警告的。
　　然后svchost.Dll文件会自动插入到svchost.Exe进程中，从而利用这个进程来连接远程的客户端程序，此外还会在系统服务中添加一个新的服务，便于以后我随机启动。当连接成功以后就可以通过客户端程序进行文件管理、桌面查看、键盘记录等操作。
　　我的键盘记录功能可以记录各种各样的账号和密码信息，还支持离线键盘消息记录，这样当连接成功后就可以立即查看不在线时用户的键盘操作。
本期医生：杀破这只“狼”
　　这个木马虽然能绕过主动防御，但并不是消灭不了它，下面我就教大家如何清除这个可恶的木马。
　　第一步：首先运行安全工具WSysCheck（软件下载地址：http://www.cpcw.com/bzsoft），点击“进程管理”标签，在进程列表找到一个粉红色的svchost.Exe进程。由于木马采用了进程保护措施，通过常见的进程结束命令行不通，因此选择右键菜单中的“禁止选择的程序运行”命令（图1）。

　　第二步：这时系统可能会出现假死等不稳定的情况，不过重新启动一下系统就可以了。接着点击程序的“服务管理”标签，从服务列表中找到一个名为IPRIP的服务，这就是“红狼远控”的启动项。点击右键菜单中的“删除选中的服务”命令即可将它清除（图2）。

　　第三步：然后点击程序的“文件管理”标签后，在程序模拟的资源管理器窗口中，来到Windows系统中的System32目录。找到“红狼远控”的服务端文件svchost.Dll后，点击右键菜单中的“直接删除文件”命令就能将木马彻底清除（图3）。

　　最后大家还需要重新安装一次杀毒软件，这样主动防御功能才会重新启用。另外提醒大家一定要加强自己的防范意识，不要随意地点击其他人发来的网络链接，因为这些可能就是插入了网页木马的链

 
如何防止盗号木马 　　历年临近年关都是病毒、木马的高发期，今年也不例外。各主流安全厂商的统计数据表明网游盗号木马已连续数周呈现激增态势，增长速度超过平时的2～3倍，有全面爆发的危险。
　　究竟是什么原因促使短期内网游盗号木马会如此不正常地大幅增长呢？经过一番调查，结合读者的举报线索，我们发现近两个月来互联网上冒出了多个公开制作、出售病毒木马的非法网站，且生意兴隆、买卖红火。
　　例如最近声名大噪的比翼马网站就以定做、出售各类网游盗号木马为主业，网站号称“诚信与技术，比翼双飞”，且承诺提供的木马绝无后门，100%免杀，可躲过所有杀毒软件的查杀，甚至还有VIP版本可供选择。而测试账号、视频教程、交流QQ群等售前、售后“服务”更是样样俱全。
　　它出售的网游盗号木马包括《魔兽世界》、《魔域》、《诛仙》、《征途》等在内的数十种热门网络游戏，针对网络游戏密保卡更是推出了全套解决方案，声称可轻易破解，价格也从600元的小马到1500元的木马生成器不等。令人啼笑皆非的是，该站一再提醒顾客注意辨别自己才是正宗的“比翼马”，并列举了多个仿冒网站，真是五十步笑百步。
　　病毒平民化无疑是一个非常危险的信号，此类网站的行为使人人都能四处“施毒放马”，不少心怀叵测者更是将这些木马投放到网吧或制成恶意网站盗取他人虚拟财产，使网络盗窃等犯罪行为日益猖獗。
　　尤其令人忧心的是，购买这些网游盗号木马的人群中有不少都是尚未成年的中小学生，然而他们大多数人却并不认为这是违法的事，反而觉得在同学中很有面子。网络游戏的特殊性使未成年人辨别是非的能力进一步被削弱，认为游戏就是游戏，即使盗窃了他人账号也不是什么大事。
　　因此，这种明目张胆售卖计算机病毒程序的网站不仅严重威胁网络环境，扰乱游戏秩序，更严重了扭曲青少年的是非观、价值观，引诱他们走上违法犯罪的道路。我们相信真正热爱网络、热爱游戏的人们绝不会容忍此种网站继续为所欲为，本期HOSTS反黑文件已将多个此类网站屏蔽，欢迎广大读者继续提供举报线索。
　　编辑点评：春节将近，网络游戏上线率也将达到顶峰，同时也是各类病毒和网游盗号木马最活跃的时候，各位网友玩家务必要开启杀毒软件和防火墙的实时监控，并确保自己的病毒库为最新病毒库。
　　鉴于近期层出不穷的网游盗号木马都针对主流杀毒软件使用了免杀技术，建议玩家最好使用有账号保护功能的密保类软件登录游戏。此外还要注意，如在游戏进行中频繁掉线、多次弹出登录窗口或多次要求输入密码时要提高警惕，这有可能是新型木马使用的卑劣手段，企图记录密码。