知识学堂
  • ·联系电话:+86.023-75585550
  • ·联系传真:+86.023-75585550
  • ·24小时手机:13896886023
  • ·QQ 咨 询:361652718 513960520
当前位置 > 首页 > 知识学堂 > 常见技术问题
外链式后门的发现与清除
更新时间:2011-10-24 | 发布人:本站 | 点击率:866
什么是外链式后门:“类似TelNet那样,连接到了,就可以完全控制你的系统。”
先给大家看个链接式后门

这种后门如何发现呢
首先 netstat -an
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING
TCP 0.0.0.0:11237 0.0.0.0:0 LISTENING
TCP 0.0.0.0:11244 0.0.0.0:0 LISTENING
TCP 0.0.0.0:11792 0.0.0.0:0 LISTENING
TCP 0.0.0.0:43642 0.0.0.0:0 LISTENING
80端口 是 WEB服务 135端口如果没人连接是正常 3306是mysql
不过这有几个可疑端口912 11237 11244 11792 43642
遇到这些端口,可以先到谷歌查
比如 “912端口”
就是VMWare监听的端口

不过如何清除了,比如我看到了43642这个端口是异常的
就输入
netstat -ano|findstr “43642″
出现
TCP 0.0.0.0:43642 0.0.0.0:0 LISTENING 1328
最后一行就是PID 1328

任务管理器设置一下
显示PID

找到后,用冰刃之类的查看路径,删除之即可。
分享到: QQ空间 新浪微博 开心网 人人网
相关文章