如何在服务器留下长期隐蔽性后门

Sunshine (︶︿︶/  / //！ 。！ o∩_∩o)  |2013-01-08 23:56

拿到web服务器，添加账户，登录远程桌面。。然后很快管理员就上线了。我添加的一切账号都被删了，包括装X的win32神马的。不想留shift，放大镜后门，容易被发现。有时候需要用服务器长期做一些事情，可是服务器拿到后，最多不超过10天，服务器就丢了。请教各位大大，如何在服务器留下长期后门。(种马的话，不到万不得已还是不要干的。)

---

1#

pangshenjie (whoami) | 2013-01-09 00:05

为啥sethc和放大镜会被发现？像lpk这种的只要不被杀还是很隐蔽的吧。。

2#

upload (%bf%27%bf%27%bf%27%bf%27%) | 2013-01-09 00:06

这个...

3#

小E | 2013-01-09 00:11

getpass

4#

Mujj (www.80host.com) | 2013-01-09 00:24

http://oss.aliyuncs.com/server/GetPass_cmd.exe

5#

pangshenjie (whoami) | 2013-01-09 00:36

wce gsecdump pwdump 以及mimikatz还有ls提到的那些工具都可以抓到系统的密码。

另外看管理员的智商了，可以添加一些和机器名相关的账户名比如 IWAM_XXX还有IUSR_XXX的账户。还有比较隐蔽一点的是不要直接把用户添加到管理组里去，可以加到一个不常用的普通组里然后把这个普通组加到administrators组里去。有的2b管理员习惯性的只看账户的组的权限，不去检查组的权限。

6#

Hello_C (不乱于心，不困于情。不畏将来，不念过往。如此，安好) | 2013-01-09 02:21

- -!  抓管理员的hash 只要管理没安全心里 可以保持很久

7#

Sunshine (︶︿︶/ / //！ 。！ o∩_∩o) | 2013-01-09 07:29

@小E @Hello_C getpass也不怎样，管理员一般会改密码的。@upload 至于你说的那些装逼的用户名我也试过，均被删除。但是那个加组的貌似还行。thx.

8#

Sunshine (︶︿︶/ / //！ 。！ o∩_∩o) | 2013-01-09 07:35

e,@错了，@pangshenjie

9#

笔墨 (这世界笑了,于是你合群的一起笑了.) | 2013-01-09 08:49

经常抓管理员密码后运行我的木马…

10#

Sunshine (︶︿︶/ / //！ 。！ o∩_∩o) | 2013-01-09 09:48

@笔墨 问你要你又不给。。。︶︿︶

11#

z7y (亲爱滴~VIP) | 2013-01-09 10:42

@Sunshine 绕过服务器有杀软,就把lpk.dll添加进白名单,这样不就不容易被发现？5下shift后,还要在加热键才能开器后门,实在不行你就添加个同等sa权限或者root权限的账户把！

12#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-01-09 10:51

木马、后门都是浮云……

以管理员的方式进入才是最隐蔽的，管理员怎么进，你就怎么进！

13#

冰锋刺客 (此事还须三思啊) | 2013-01-09 11:28

写写我常用到的

1. 建立超级隐藏账户(复制administrator权限信息)，如果网管不去看注册表发现不了

2. 抓管理员HASH密文(或者mimikatz、还有逆向mimikatz的那个获取明文密码程序)，以管理员身份登录，把操作日志有效期设置为一天

3. 建立IUSR_* 这样的迷惑性账户(如 @pangshenjie 所说)

15#

D＆G | 2013-01-11 10:00

@冰锋刺客 请教下怎么把操作日志有效期设置为一天，注册表里只找到文件最大值的设置

16#

冰锋刺客 (此事还须三思啊) | 2013-01-11 20:55

不是注册表啊。你既然已经进入系统，

计算机管理-->系统工具-->事件查看器-->Windows日志-->安全->属性(默认是保存7天的，改为1天)。

照这样把Windows日志下几个都设置为只保存1天，等到第二天管理员就算发现，日志也已经自动没了。

17#

Sunshine (︶︿︶/ / //！ 。！ o∩_∩o) | 2013-01-11 22:18

@核攻击 @冰锋刺客 thx.我慢慢试试

18#

Sunshine (︶︿︶/ / //！ 。！ o∩_∩o) | 2013-01-11 22:25

日志神马的，终究躲不过。超级隐藏账户倒是还可以。管理员倒是喜欢发现被入侵后改改密码。。

19#

冰锋刺客 (此事还须三思啊) | 2013-01-12 00:09

@Sunshine  自动删除日志只是个辅助效果，让你避免隔一会删就手动删日志的麻烦

20#

cnrstar (Be My Personal Best!) | 2013-01-12 00:49

1.留漏洞

2.rootkit

3.上面说完了

PS：正反向的都留嘛

[点此参与讨论]

留言评论（旧系统）：

文章来源于lcx.cc:如何在服务器留下长期隐蔽性后门