1.14 检查计算机账号克隆情况

随着个人计算机安全意识的提高,网络木马程序的生命周期越来越短,如果要使木马软件实现免杀,必须掌握软件加壳、修改特征码等技术。对于网络上的计算机,特别是网络服务器,被成功控制以后,对账号进行克隆基本上已经成为入侵者的习惯。在系统管理员更改系统账号以后,使用克隆用户账号登录并重新控制系统是一个非常不错的选择。下面,笔者将与大家分享一些维护网络服务器的经验,共保服务器安全。

计算机的常规检查主要通过依次单击“我的电脑”→“管理”→“计算机管理”→“本地用户与组”选项实施,检查管理员组中是否存在多余账号及是否存在多个用户账号。

1.14.1 检查用户

操作系统中默认存在administrator用户及其他用户,如本例中的“simeon”,以及启动IIS进程账户、Internet来宾账号等,如图1-85所示。这些账号往往与系统中提供的服务或者安装的软件有关。如果在检查过程中发现了多余的账号,则极有可能是入侵者添加的。

0082-1

图1-85 检查用户账号

1.14.2 检查组

任何用户账号都必须属于一个组。在安全检查中,需要特别注意Administrators组,这个组是具有管理员权限的组。在“计算机管理”窗口双击“组”中的“Administrators”,即可查看其中是否存在多余的管理员账号,如图1-86所示。

0082-2

图1-86 管理员组账号检查

说明

(1)对账号的检查也可以在DOS提示符下实现。依次单击“开始”→“运行”,输入“cmd”或者“command”命令,进入DOS提示符窗口,然后输入“net user”查看系统中的所有用户,输入“net localgroup administrators”查看管理员组,如图1-87所示。可以通过“net user username /delete”命令删除用户。

0083-1

图1-87 在DOS窗口查看用户和管理员信息

(2)如果入侵者在添加账号时在账号末尾加上了“$”符号,那么在使用“net user”命令查看用户时,以“$”结束的用户名不会显示。这种账号只能通过图形界面查看。

在系统中添加的非克隆账号,可以通过常规检查找出。但是,如果入侵者在系统中对账号进行了克隆(通常是克隆系统中已经存在账号),如克隆aspnet、TsInternetuser、Guest等账号,那么通过“net user”、“net localgroup administrators”命令及图形界面都无法查出。如果计算机开放了远程终端或安装了pcAnywhere等工具,入侵者就可以通过这些账号正常访问系统了。非常规检查主要通过工具软件Mt或本地管理员检测工具进行。Mt只能运行在DOS环境中,而本地管理员检测工具是图形界面,功能相对少一些。由于Mt功能强大,目前很多杀毒软件都把它列为黑客工具进行查杀。

1.14.3 使用Mt进行检查

Mt提供了很多功能,使用时要求权限为system,在Windows XP中可能会提示权限不够而无法使用。在DOS窗口或者其他管理软件的Telnet窗口输入命令“mt”,即可查看详细的命令说明。本节只使用“mt -chkuser”命令。如图1-88所示,检查系统克隆账号,输入命令后会在屏幕上输出结果。主要查看ExpectedSID和CheckedSID,如果这两个值不一样,就说明账号被克隆了。可以看到,simeon$ 账号的CheckedSID和Administrator账号的CheckedSID值一样,说明simeon$账号克隆了Administrator账号。

0084-1

图1-88 检查克隆账号

1.14.4 使用本地管理员检测工具进行检查

直接运行本地管理员检测工具,程序会自动显示系统中存在的账号,并给出相应的提示,提示信息通常为“影子管理员?”,如图1-89所示。

0084-2

图1-89 使用本地管理员检测工具检查克隆账号

如果计算机提供3389远程终端服务或者安装了pcAnywhere等远程控制工具,就需要定期检查系统用户账号。一旦发现克隆账号,就说明系统的安全风险非常大,单独删除克隆账号意义不大。建议使用系统备份进行恢复,并更改系统中所有账号的密码。