首页
社区
课程
招聘
[求助]我的服务器今天被黑客植入一个很牛的程序!
发表于: 2008-12-31 15:35 18126

[求助]我的服务器今天被黑客植入一个很牛的程序!

2008-12-31 15:35
18126
我已经上传了附件!请各位牛人帮我分析下··运行以后要求输入用户名字和密码!不是VB写的·是Borland Delphi 6.0 - 7.0无壳!竟然在我服务器里·在服务器无意间按了5次SHIFT结果就出现了这个 ·最后终于把这个东西搞了出来了·请大家帮帮看看这个是什么·运行之后要填写的用户和密码又是什么???谢谢各位了!!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (32)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
多半是盗取密码和用户名的
2008-12-31 16:58
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
3
满足以下条件好像:

not(md5(name)) = 33ba444e7621f9d59a5868a6f15edc86

base64(not(md5(code))) = autm1qtm0m0m5uknxuzmbftqyyeoymurgvtqwikn2een
2008-12-31 17:18
0
雪    币: 93
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
据我了解,有一种后门可以在3389的登录状态按五次shift也会出来,可以绕过系统登录直接进入。
2008-12-31 17:56
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
shift后门
LZ 搜下吧
替换原sethc. exe?
2008-12-31 19:09
0
雪    币: 1355
活跃值: (339)
能力值: ( LV13,RANK:920 )
在线值:
发帖
回帖
粉丝
6
卡巴、NOD、金山、瑞星、360等都被瞄准了
也没测试是否爆成功,你可以测试一下。
上传的附件:
2008-12-31 19:10
0
雪    币: 375
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
真是这样的话,打开文件,弄个自己知道的md5填充进去就可以了吧~~~

个人感觉,爆破应该木油问题的。
2008-12-31 21:29
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
好厉害,
2008-12-31 22:42
0
雪    币: 268
活跃值: (95)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
9
如五楼的兄弟所说,替换掉了系统 sethc.exe 。估计是留下用来加管理员帐号用的!运行之后要填写的用户和密码估计是为了只有自己才能加管理员,不是任何人都能加的!
2008-12-31 23:34
0
雪    币: 208
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
收下了留着备用!!这个东西很不错!
2009-1-1 01:05
1
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我很菜没深入分析,我就看到Power by langya
2009-1-1 01:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
shift 后门
2009-1-1 02:41
0
雪    币: 102
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
昨天查了一下·好像这个软件很牛X·据说这个作者说如果自己的加密没人破解出用户和密码!

使用说明:
1、用户名和密码均进行过不可逆式加密,如忘记只能重新生成了

这个是软件的说明。很嚣张。。。竟然狂言说·这个软件没人破出来··诶···请大牛们谁破出来用户和密码发出来啊!!!
2009-1-1 08:36
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这种破软件SHIFT后门都是2007年用的东西了,才发现?
2009-1-1 12:58
0
雪    币: 108
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这种东西我也经常用 不过爆破是肯定没有问题的 密码放在本身文件里 很好找的
2009-1-1 14:29
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我也遇到这个问题了,一会开个帖子去
2009-1-1 15:55
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
很牛...3389下按5次可以跳过
2009-1-1 16:41
0
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
楼主用用其他的方法管理用的服务器,不要开3389
2009-1-1 19:41
0
雪    币: 337
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
0045727B  |. /75 1D            jnz short sethc.0045729A

0045728A  |. /75 0E            jnz short sethc.0045729A

两个关键,改了就行了,
出现很多信息,做的好象还不错了,呵呵

Mybr Forum  (www.mybr.org)
DST Forum   (www.darkst.com)
Power by langya
Version 1.1
2008.6.30
2009-1-2 18:54
0
雪    币: 388
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
MD5值查不到就没办法了 可以通过爆破或是把源文件删除
X:\Windows\System32\sethc.exe
2009-1-2 22:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
不是用来添加账户的,是它本身就是一个登录验证的程序,一个后门,这个软件的上传者可以通过这个程序来登录系统,从而绕过Windows的登录验证。
2009-1-6 11:19
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
shift后门
这是服务器的后门一般入侵者在成功后把这个程序跟sethc. exe捆绑 为方便以后登陆 这办法很多人知道为了防止被人利用就加了要登陆的用户名和密码 其实找个干净的sethc. exe替换掉就可以了
2009-1-6 15:51
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
SHIFT后门
作者狼牙,听说过狼牙抓鸡器吗,就是他的,他一般在bbs.mybr.org和www.darkst.com上活动
2009-1-6 16:11
0
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
看看后门!!!!!!!!!!!
2009-1-6 16:22
0
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
25
普通的利用粘滞键的后门程序而已..........
可以彻底关闭这个功能的
2009-1-11 12:02
0
游客
登录 | 注册 方可回帖
返回
//