隨着電腦技術的發展和電腦的普及,還有大大小小的“駭客”網站和越來越簡單的工具,使得目前***變得日趨頻繁,被植入***的電腦或服務器也越來越多,與此同時系統管理員的安全意識也在不斷提高,加上殺毒軟件的發展,網絡***的生命週期也越來越短,所以***者在獲取了服務器的控制權限後,一般使用克隆用戶或者安裝SHIFT後門達到隱藏自己的目的,下面就由我給大家介紹一些常見的克隆用戶和檢查是否存在克隆用戶及清除的方法。
一、克隆賬號的原理與危害
1.克隆賬號的原理
在註冊表中有兩處保存了賬號的SID相對標誌符,一處是註冊表HKEY_LOCAL_MACHINE\SAM\AMDomains \AccountUsers 下的子鍵名,另一處是該子鍵的子項F的值。但微軟犯了個不同步它們的錯誤,登錄時用的是後者,查詢時用前者。當用Administrator的F項覆蓋其 他賬號的F項後,就造成了賬號是管理員權限,但查詢還是原來狀態的情況,這就是所謂的克隆賬號。
安全小知識:SID也就是安全標識符(Security Identifiers),是標識用戶、組和計算機賬戶的唯一的號碼。在第一次創建該賬戶時,將給網絡上的每一個賬戶發佈一個唯一的 SID.Windows 2000 中的內部進程將引用賬戶的 SID 而不是賬戶的用戶或組名。如果創建賬戶,再刪除賬戶,然後使用相同的用戶名創建另一個賬戶,則新賬戶將不具有授權給前一個賬戶的權力或權限,原因是該賬戶具有不同的 SID 號。
2. 克隆賬號的危害
當系統用戶一旦被克隆,配合終端服務,就等於向***者開啓了一扇隱蔽的後門,讓***者可以隨時進入你的系統,這一扇門你看不到,因爲它依靠的是微軟的終端服務,並沒有釋放病毒文件,所以也不會被殺毒軟件所查殺。
二、克隆用戶的常用方法
1.手工克隆方法一
在Windows 2000/xp/2003和Windows NT裏,默認管理員賬號的SID是固定的500(0x1f4),那麼我們可以用機器裏已經存在的一個賬號將SID爲500的賬號進行克隆,在這裏我們選擇 的賬號是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO爲已被攻陷的服務器機器名。爲了加強隱蔽性,我們選擇了這個賬號,所 有用戶都可以用以下的方法,只不過這個用戶較常見罷了)
我們這裏要用到的一個工具是PsExec,一個輕型的 telnet 替代工具,它使您無需手動安裝客戶端軟件即可執行其他系統上的進程,並且可以獲得與控制檯應用程序相當的完全交互性。PsExec 最強大的功能之一是在遠程系統和遠程支持工具(如 IpConfig)中啓動交互式命令提示窗口,以便顯示無法通過其他方式顯示的有關遠程系統的信息。
執行:psexec -i -s -d cmd運行一個System的CMD Shell,如圖1所示。
 |
| 圖1 |
得到一個有system權限的cmd shell,然後在該CMD Shell裏面運行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”,這樣我們將SID爲 500(0x1f4)的管理員賬號的相關信息導出,如圖2所示。
 |
| 圖2 |
然後編輯admin.reg文件,將admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains \Account\Users\000001F4中的“1F4”修改爲IUSR_XODU5PTT910NHOO的SID,將文件中的“1F4”修改爲 “3EB”,如圖3所示。
 |
| 圖3 |
保存之後,然後執行如下命令:“regedit /s admin.reg”,導入該admin.reg文件,最後執行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密碼爲n3tl04d.這裏建議最好使用14位的密碼,也就是說越像 IUSR_XODU5PTT910NHOO的密碼越好,現在,就可以使用IUSR_XODU5PTT910NHOO密碼爲n3tl04d遠程登錄了,和管 理員一樣的配置環境!如圖4所示。
 |
| 圖4 |
注 意:大部份機器裏IUSR_MACHINE用戶的SID都爲0x3E9(如果機器在最初安裝的時候沒有安裝IIS,而是自己創建了賬號後再安裝IIS就有 可能不是這個值了),如果不確定,可以使用:“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先導 出註冊表,然後編輯sid.reg文件,就可以看到SID爲“3EB”,如圖5所示。
 |
| 圖5 |
2.手工克隆方法二
另外一種克隆賬戶的方法是:首先運行regedt32.exe,展開註冊表到HKEY_LOCAL_MACHINE\SAM\SAM,然後點菜單欄的“編 輯”→“權限”(Windows 2000是菜單欄的“安全”→“權限”),會彈出“SAM的權限”窗口,點擊Administrators,在該窗口中勾選允許完全控制, (Windows 2000是在該窗口中勾選“允許將來自父系的可繼承權限傳播給該對象”)然後點擊“確定”按鈕。如圖6所示。
 |
| 圖6 |
再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4,雙擊右邊窗口中的“F”項,如圖7所示。
 |
| 圖7 |
選取全部內容,然後點擊鼠標右鍵選“複製”,再打開HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users \00003EB下的F項,將剛纔複製的內容粘貼進去,這樣我們就將IUSR_XODU5PTT910NHOO賬號克隆成了管理員,再將剛纔SAM目錄的 權限給刪掉,以免被人發現。
3.使用mt克隆
mt.exe是一款非常強大的網絡工具,它主要以命令行方式執行,可以開啓系統服務,檢查用戶以及直接顯示用戶登陸密碼等。它就象一把雙刃劍,***者和系統管理員都要使用它,但由於常被***者使用,所以被很多殺毒軟件列爲病毒。
關於MT的詳細測試報 告可以到[url]http://www.antian365.com/bbs/viewthread.php[/url]?tid=2786& extra=page%3D1&frombbs=1瞭解。克隆用戶的用法如下:mt -clone如:mt -clone adminstrator IUSR_XODU5PTT910NHOO如圖8所示。
 |
| 圖8 |
就是把管理員賬號administrator克隆爲IUSR_XODU5PTT910NHOO賬號。最後執行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密碼爲n3tl04d.
4.使用AIO克隆
AIO(All In .e)是WinEggDrop寫的一個把很多小工具功能集成一體的一個“工具”,其中有克隆用戶、修改服務的啓動類型、刪除系統賬戶、檢查系統隱藏服務、端口掃描和端口轉發等等。
使用AIO克隆很簡單,就是: Aio.exe -Clone 正常賬號 要被克隆賬戶 密碼如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d這樣就可以用IUSR_XODU5PTT910NHOO\n3tl04d作爲管理員登錄了。
如圖9所示。
 |
| 圖9 |
5.使用CA克隆
ca.exe 小榕編寫的一個遠程克隆賬號工具,當然本地克隆也沒問題。
用法如下:ca \\ip地址 管理員用戶名 管理員密碼 克隆的用戶 密碼如:ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456如圖10所示。
 |
| 圖10 |
6.建立隱藏賬號
需要使用的工具叫adhider,是錦毛鼠寫的一個專門建立隱藏用戶的工具。此工具有個缺點,那就是當服務器重啓後,用戶就隱藏不了,會在用戶管理中顯示出來。
用法如下:adhider 用戶名 密碼如:adhider n3tl04d$\123456如圖11所示。
 |
| 圖11 |
創建成功後就可以使用n3tl04d$\123456登錄,得到和管理員權限。
7.使用clone克隆
clone是28度的冰寫的一個克隆工具,只支持windows2003和windowsxp,不支持windows2000.此工具有個缺點,那就是當服務器重啓後,用戶就隱藏不了,會在用戶管理中顯示出來。
用法如下:Clone.exe 用戶名 密碼如:clone n3tl04d 520mm如圖12所示。
 |
| 圖12 |
就可以使用n3tl04d\520mm登錄,得到和管理員權限。
注意:在Windows 2003下如果使用clone克隆後,再使用MT檢查,會提示你沒有系統權限,此時需要重啓電腦或者運行一個有system權限的cmd才能使用MT檢查。
三、克隆用戶安全檢查與防範
當系統用戶被克隆之後,更改管理員也無濟於事,服務器上面的信息和數據還是被***者隨意竊取。所以必須把克隆的用戶清除,再做其它方面的安全檢查。
在檢查是否存在克隆用戶前,最好重啓一下系統。對於上面第六和第七種方法克隆的,就會在用戶管理裏顯示出來了,一看就知道。如圖13所示。
 |
| 圖13 |
如果發現有克隆賬號,可以用mt或AIO軟件進行刪除。
1.使用MT檢查
在cmd命令行下,使用“mt–chkuser”命令,檢查系統克隆賬號,輸入命令後,會在屏幕中輸出結果,主要查看ExpectedSID和CheckedSID,如果這兩個值不一樣則說明賬號被克隆了。如圖14所示。
 |
| 圖14 |
從圖中可以看出,IUSR_XODU5PTT910NHOO用戶的ExpectedSID和CheckedSID不一樣,且它的CheckedSID值是 和管理員administrator的CheckedSID值一樣,很明顯IUSR_XODU5PTT910NHOO是一個克隆的賬號。
2.使用AIO檢查
不需要在system權限下也可用。
用法: Aio.exe –CheckClone,如圖15所示。
 |
| 圖15 |
從圖可以看出,n3tl04d,n3tl04d$都是克隆的賬號。
3.使用CCA檢查
CCA是小榕寫的檢查是否存在克隆的賬號,支持遠程檢查,但必須有管理員賬號。
用法如下:cca.exe \\ip地址 用戶名 密碼檢查本機是否存在克隆用戶,如cca \\127.0.0.1 administrator 123456如圖16所示。
 |
| 圖16 |
從圖可以看出,n3tl04d,n3tl04d$都是克隆的賬號。
4.使用LP_Check檢查
如果系統存在克隆用戶,軟件將會顯示紅色。不過此工具檢測不到使用adhider.exe克隆的用戶。如圖17所示。
 |
| 圖17 |
只檢測到n3tl04d一個克隆的用戶(顯示紅色),事實上還存在另一個克隆的賬號n3tl04d$,但它沒有檢測出來。
5.手工檢查
(1)對於系統默認用戶,如guest、IUSR_XODU5PTT910NHOO,可使用“net user IUSR_XODU5PTT910NHOO”命令查看最後登錄日期,如圖18所示。
 |
| 圖18 |
從圖可以看出,IUSR_XODU5PTT910NHOO在2008-12-4登錄過系統,此賬號默認是是顯示“上次登錄 從不”,因此可以判定賬號已被克隆過。
(2)查看系統登錄日誌
Windows 2003的用戶登錄審覈是默認開啓的,如果有某個時間內發現不明的登錄日誌,如圖19所示。
 |
| 圖19 |
在21:46左右,管理員並未登錄系統,說明有其它用戶登錄過系統,點擊就可以看到是哪個用戶登錄了,如圖20所示。
 |
| 圖20 |
從圖可以看出, n3tl04d$在21:46登錄過系統,說明此賬號就是被克隆的賬號了。如果日誌全沒,管理員又沒自己刪除過,那肯定是***者刪除的,說明系統肯定是被***了。此方法的不好之處就是要查看日誌,如果***者很少登錄的話,就難以被發現。
(3)查看註冊表
首先運行regedt32.exe,展開註冊表到HKEY_LOCAL_MACHINE\SAM\SAM,然後點菜單欄的“編輯”→“權限”,會彈出 “SAM的權限”窗口,點擊Administrators,在該窗口中勾選允許完全控制,然後點擊“確定”按鈕。再找到 HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\Names,查看是否存在不明的用戶,如圖21所 示。
 |
| 圖21 |
此方法只能對添加新用戶克隆有效,如果克隆的是系統默認賬號,如guest、IUSR_MACHINE等賬號,需要導出兩個用戶的鍵值,然後對比F項,如果IUSR_MACHINE的F值和管理員的F項的值相同,說明已被克隆了。如圖22所示。
 |
| 圖22 |
從圖中可以看出,3EB的F項的值和管理員1F4的值是一樣,說明SID爲3EB的這個賬號是克隆賬號。
6.刪除克隆用戶
(1) 如果是系統默認賬號被克隆的話,先到一臺正常電腦上,同樣方法,複製相同用戶下面的F項的值,如你發現的是IUSR_MACHINE(machine爲機 器名)用戶被克隆,就打開一臺正常電腦的註冊表,找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users \000003EA,導出註冊表,保存爲3EA.reg,同樣,回到被***過的電腦,導入被克隆過的用戶註冊表值爲3eb.reg,接着就是把 3ea.reg裏面的F值複製替換3eb.reg裏的F值,再把裏面的ea改爲eb(改這個的原因是因爲兩臺電腦的IUSR_MACHINE用戶的SID 不一樣,如果是一樣,就不需要更改),如圖23所示。
 |
| 圖23 |
保存後再導入註冊表,然後在cmd下使用“net user IUSR_MACHINE n3tl04d520mm”更換密碼。
如果是添加用戶式的克隆可使用以下方法
(2)使用MT刪除克隆用戶
在cmd命令下輸入“mt -killuser 用戶名”
如:mt -killuser n3tl04d,成功後n3tl04d賬號就不存在了,如圖24所示。
 |
| 圖24 |
(3)使用AIO刪除克隆用戶
在cmd命令下輸入“Aio.exe -DelUser 用戶名”
如: Aio.exe -DelUser n3tl04d,成功後n3tl04d用戶就被刪除了。如圖25所示。
 |
| 圖25 |
四、總結與探討
由於條件等各方面的限制,此次全部操作都是在Windows 2003環境下完成,可能會有些不對的地方,請大家多多指正。
如果發現被克隆,有人說要重裝系統,個人認爲那是不明智的選擇,特別是服務器作爲虛擬主機的時候,你把客戶的網站都停掉,造成的損失,誰來負責?再說,如 果***是服務器配置不當,或者其它網站漏洞造成的,單單重裝系統,並沒有把原來的漏洞修補上,***者可以照着原路再一次把你的系統攻陷。但僅僅刪除被克隆 的用戶也是遠遠不夠的,還需要更改所有管理員密碼。除此之外,個人認爲還是應該對服務器做一次完整的安全檢測和安全加固,如果能力有限,可以找相關的安全 組織或公司幫你做。如果有需要,安天365團隊願意提供服務。