反弹木马——本质上就是一个开80端口的CS程序,伪造自己在浏览网页
反弹端口型木马分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪个防火墙会不给用户向外连接80端口吧,嘿嘿)看到这里,有人会问:那服务端怎么能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?哈哈,那不是自己找死么?一查就查到了。
实际上,这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间,在其中放置一个文本文件,木马每分钟去GET一次这个文件,如果文件内容为空,就什么都不做,如果有内容就按照文本文件中的数据计算出控制端的IP和端口,反弹一个TCP链接回去,这样每次控制者上线只需要FTP一个INI文件就可以告诉木马自己的位置,为了保险起见,这个IP地址甚至可以经过一定的加密,除了服务和控制端,其他的人就算拿到了也没有任何的意义。对于一些能够分析报文、过滤TCP/UDP的防火墙,反弹端口型木马同样有办法对付,简单的来说,控制端使用80端口的木马完全可以真的使用HTTP协议,将传送的数据包含在HTTP的报文中,难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页还是控制命令和数据?
一般使用反弹型木马,比如灰鸽子,你可以先申请一个免费主页空间,里面建立一个文件,然后配置灰鸽子读取里面的数据,你每次上线后修改这个文件,让他指向你的Ip,就可以了,你的肉鸡自动连接到你的机器。
图2 反弹式木马骗取防火墙信任
那么,如何防范这类反弹式木马呢?
1、我们推荐大家使用个人防火墙,其采用独特的“内墙”方式——应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被防火墙个人版的“内墙”所拦截。
2、再就是老生常谈了,千万不要随便运行陌生的程序;收到邮件一定要先查看附件,再运行;不要隐藏文件后缀,发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方,在此就不赘述了。
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
相关文章
- Privatus Mac(网页缓存清理)
- Eunomia: 让 ebpf 程序的分发和使用像网页和 web 服务一样自然
- 推荐5个神级网站,一键解析下载网页和app上所有视频!
- 关于羊了个羊小程序/H5网页/APP游戏系统开发规则玩法介绍
- 【愚公系列】2022年09月 微信小程序-webview内嵌网页的授权认证
- 开源在线客服系统源码(支持PC/H5/公众号/小程序)基于golang的网页在线客服系统
- 网页制作---HTML
- IDM,一款Windows老牌下载器,网页中视频、音乐、图片一键下载
- Hexo -42- 服务器搭建网页自动截图服务
- BackPress:用于创建网页程序的 PHP 库
- Python抓取指定网页以及该网页上所有链接详解编程语言
- 【网上体验Linux:领略开源特色】(网页版的linux)
- Oracle网页登录:安全又方便(oracle网页登陆)
- PHPLinux实现网页服务:PHP篇(linux运行网页)
- 网页设计-Viewport
- 解决 linux 无法访问网页的问题(linux打不开网页)
- 怎样在网页中连接MSSQL数据库?(网页怎么链接mssql)
- 深度探索解决网页与Redis连接异常(网页连接redis异常)
- 网页上如何访问Redis(网页如何访问redis)
- 硬盘浏览程序,保存成网页格式便可使用
- C#实现通过程序自动抓取远程Web网页信息的代码
- 网页语言编码及asp乱码问题解决方案
- 把网页中的(电话,qq等数字)生成图片的ASP程序