日因下载一个汉化的:DameWareNTUtilities4.9.2.6minicontrol而中了鸽子的招
整个过程如下:
1.由于习惯常在cmd下用netstat-an命令发现了一个奇怪的连接:
TCP 192.168.0.8:3155 220.176.15.46:1986 ESTABLISHED
TCP 192.168.0.8:3156 61.145.121.115:80 ESTABLISHED
当时我是没有开任何的浏览器。。看到熟悉的80就引起注意了。鉴于近来鸽子乱飞。。第一时间就怀疑到是中了鸽子。
2.立马上
下了所有关于杀鸽子的工具。发现只有用下面这个工具才找到了它的踪迹:
screen.width*0.7){this.resized=true;this.width=screen.width*0.7;this.alt='Clickheretoopennewwindow';}"border=0>
3.判断80端口的是鸽子的访问
地址。用于定位
入侵者的ip及端口
马上扫80端口的机子
d:\hacker\ipc>stcp61.145.121.1151-60001024
TCPPortScannerV1.1ByWinEggDrop
NormalScan:AboutToScan6000PortsUsing1024Thread
61.145.121.115 80 Open
Scan61.145.121.115CompleteIn0Hours0Minutes21Seconds.Found1OpenPorts
但是用ie打开提示:
找不到网页
您要查看的网页可能已被删除、名称已被更改,或者暂时不可用。
--------------------------------------------------------------------------------
请尝试以下操作:
如果您已经在
地址栏中输入该网页的
地址,请确认其拼写正确。
打开61.145.121.115 主页,然后查找指向您感兴趣信息的链接。
单击后退按钮,尝试其他链接。
单击搜索,寻找Internet上的信息。
HTTP404-未找到文件
InternetExplorer
ip138.comIP查询(搜索IP
地址的地理位置)
您查询的IP:61.145.121.115
查询结果1:广东省广州市电信
查询结果2:广东省广州市ADSL
估计。。中转的机子可能是网吧的服务器之类的非http服务器。。要想从中转机入手找
入侵者。。在这卡住。
4.看一下
入侵者的地理:
ip138.comIP查询(搜索IP
地址的地理位置)
您查询的IP:220.176.14.66
查询结果1:江西省赣州市电信
查询结果2:江西省赣州市(安远县)ADSL
5.打开procexp.exe。。密切注意开启的进程。把可疑的关了。
6.尝试用netsend220.176.14.66“whatdoyouwanttodo?"
提示失败。
7.据说还可用sniffer之类的看对方取了些什么数据。。但是我不会看抓包下来的数据。
8.还有什么其它的方法可以抓到
入侵者或者说
入侵??欢迎大家来讨论!!
当前位置:
