当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络电影引发的后门危机

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 网络电影引发的后门危机


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 35 ::
收藏到网摘: n/a

一. 神秘的网络断流事件

上了大学真“自由”,一切琐事都要自己打理,就连宿舍里的网络都要自己做……作为宿舍里唯一的技术员,这任务自然就落在我头上了。最终,我们宿舍靠着ZyXEL SC642 ADSL Modem和TP-Link交换机的配合上了网,Modem方面我设置了路由和防火墙,宿舍内设置成一个对等网,一个学期下来平安无事。

然而到了学期末,网络却有了异常:经常突然间就访问不了网络了,有时候等一会儿就好,但更多的时候只能重启Modem了。在网络中断的时候,Modem的控制界面很难访问,而且界面显示的网络状态是“正常”的!很显然是ADSL断流了,但一个学期下来都没问题,怎么最近才开始断流?

由于断流时很难连接配置界面,我就试着ping了一下Modem,发现响应很慢,丢包率甚至达到90%!重启Modem后ping值恢复正常,可是才过不久就又开始断流和丢包,难道Modem坏了?我写了个小程序监控Modem的反应,发现在每次断流开始的时候,Modem就出现超时了,一旦ping值正常,网络就恢复正常,难道Modem坏了?测试把Modem的路由关闭,等了很久也没有超时,但是一旦连接网络就经常断流!结合多方资料和现象,我确认这是Viking芯片遭受攻击后的反应,难道有人蓄意攻击我们宿舍?查看Modem配置界面的防火墙日志,发现这里无论外部内部的扫描记录都有,很难分辨出有用的数据,只好交待宿舍的所有人上QQ时必须隐身,避免让攻击者抓到IP。随后的几天里网络仍然断断续续的不稳定,我只能努力从每天的Modem防火墙日志里找些蛛丝马迹,防御工作陷入被动状态。

二. 发现攻击源

几天下来,配合防火墙日志,我终于发现一些规律:内网的192.168.1.13这台机器每天都有被防火墙记录的操作,但该机器的主人每天做得最多的事情仅仅是听歌和看些从网络上下载的电影而已,怎么会被Modem视为威胁?要知道宿舍里另一个玩网游的舍友才是最大的网络资源占用者呢。或者是他系统的网络模块出了问题?我试着把他的网线拔了,结果后来还是断流了,难道问题不是这里,检查工作又一次陷入迷雾之中。

再过了几天,我又发现另一个重要的规律:每天早上6点到8点之间都没有异常情况,而一旦时间走向10点以后,随即发生的网络断流就开始了。因此可以推断出,这种断流一定是人为的,因为攻击者可能不会起床太早。但是我也仅仅能知道这些信息了,因为攻击者始终在暗处,而且像有魔法似的死死咬住我们宿舍的IP,无论多少次重启Modem换过IP,不过10分钟Modem就会再次超时不稳定,然后断流就随机出现了!

由于网络不稳定,舍友们没了平时的雅兴,在网络断流的时间里,都会靠玩局域网游戏或者看电影打发时间,因为IP为192.168.1.13的舍友平时用卡盟之类的P2P软件下载了一些恐怖片,所以偶尔也会在他那里看,这天在看《鬼来电》的时候,突然弹出了一个小小的网页,由于此时网络不可用,变成了“该页无法显示”,舍友对此似乎很熟悉了,他说下载的几个电影都会在观看过程中弹出一些宣传广告,但他觉得这种广告毫无意义,因为有时候开全屏了就看不到了,直到电影结束下才会发现桌面上多了个网页广告。

网页广告?我脑子里却闪过一个术语:网页木马!

马上要他随便传一个以前下载的那些“会弹出广告”的电影给我,在放映到5分钟左右的片段的时候,弹出了一个网页,上面果然是宣传广告,但是我却看到下面的进度条迟迟不肯进到100%!马上拔掉网线,查看它的HTML代码,发现在文件尾部有些奇怪的东西,为了确认,我开了IRIS抓包,果然发现这个页面向某个IP发出了“GET /RMVB.exe”的请求!这是个连接网页木马的电影文件!那么舍友的机器必定中马无疑!

重启Modem,让那位舍友赶在没断流之前去瑞星在线查毒网站扫描一下,出乎我的意料,居然报告机器没有中毒!我不死心,运行Msconfig检查“启动”项没有异常,可是在检查“服务”项的时候却发现一个“Rundll32 Management”服务,Rundll32还需要这种服务维持运行?服务管理器显示这个服务对应的文件是WINDOWS目录下的RManage32.exe,可是我打开相关目录却没发现这个文件,难道见鬼了?重启进入安全模式,居然发现文件是存在的,来不及思考是怎么回事,把它复制到自己的电脑后,帮舍友删除了这个文件,重启几次后确认这个文件没有再出现了。

接下来我直接在自己机器运行了这个文件,刚运行不久,就发现网络传输指示一直亮着,同时Modem监控程序就报告超时了,过了一会儿,网络再次断流!马上看Modem的防火墙日志,发现我的IP(192.168.1.8)被认为是SingleHost DOS,攻击源找到了!

三. 追查“牧马者”

清理RManage32进程和服务项后,宿舍网络再也没有断流过,看来真凶就是这个小东西了!目前由于瑞星无法查杀这个文件,我也不好推测它是什么用途,但有一点可以肯定的是,这个程序在试图与远程的什么东西进行数据传输,结果由于内网NAT映射的缘故导致建立连接失败,程序的多次连接尝试最终被Modem视为拒绝服务攻击,并意外的诱发Modem处理芯片的bug,导致Modem罢工造成宿舍网络断流!

既然杀毒软件无法得知真实数据,那我只能自己分析