用NFR监视Back Orifice木马的侵入－黑客软件

王朝数码·作者佚名 2011-01-14

宽屏版字体: 小|中|大|超大

【原理基础】

NFR，即NFR BackOfficer Friendly，是Network Flight Recorder公司发布的一个用来监控Back Orifice的工具。

NFR运行后驻留内存，通过监视端口来截获所有对你的计算机进行的FTP、TELNET、HTTP等各种方式的访问，同时也监视BackOrifice(木马)的侵入。在截获的同时，报告对方的IP。

NFR BackOfficer Friendly，它现有的最高版本为1.01版本，可以运行在：

Windows 95

Windows 98

Windows NT Server 4.0

Windows NT Workstation 4.0 v

此外，NFR公司还推出了Unix系统下的版本。

【技术支持】

NFR BackOfficer Friendly可以监听的端口和协议很多，比如：

Listen for Back Orifice

Listen for FTP

Listen for Telnet

Listen for SMTP

Listen for HTTP

Listen for POP3

Listen for IMAP2

假如我们用一些扫描软件扫描我们的机器，我们可以看见（假设我们的IP地址为：202.130.229.217）：

Ports responding:

21 ftp

23 telnet

25 smtp

80 http

110 pop3

139 nbsession

143 imap

……

那么，这些结果意味着什么呢？他意味着我们的系统有了Telnet，FTP等等端口，它只是在监听，并不是真正意义上的存在。如此同时，NFR监视系统会立刻做出报警：

Thu Dec 22 15:15:42 FTP connection from 202.130.229.217

Thu Dec 22 15:15:42 Telnet connection from 202.130.229.217

Thu Dec 22 15:15:42 SMTP connection from 202.130.229.217

Thu Dec 22 15:15:45 HTTP empty request from 202.130.229.217

Thu Dec 22 15:15:45 POP3 connection from 202.130.229.217

Thu Dec 22 15:15:51 HTTP request from 202.130.229.217: HEAD /

...

以上所说的只是监控软件的一般功能，下面主要说说利用这个软件可以做的一些有意思的事情：

【运行环境】

Windows XP

装有Windows 2003 server的虚拟机

NFR BOF软件（下载地址：http://www.sans.org.cn/Soft/290.html）

【应用实例】

1. telnet

我们现在再找一台主机（假设IP地址为：202.130.229.217），对我的主机进行扫描，那么NFR监控工具立即做出类似下面的报警：

Thu Dec 22 15:11:42 FTP connection from 202.130.229.217

Thu Dec 22 15:11:42 Telnet connection from 202.130.229.217

Thu Dec 22 15:11:42 SMTP connection from 202.130.229.217

Thu Dec 22 15:11:45 HTTP empty request from 202.130.229.217

Thu Dec 22 15:11:45 POP3 connection from 202.130.229.217

Thu Dec 22 15:11:51 HTTP request from 202.130.229.217: HEAD /. ...

Thu Dec 22 15:12:40 Telnet connection from 202.130.229.217

Thu Dec 22 15:12:50 Telnet login attempted from 202.130.229.217: user: root, password: root

Thu Dec 22 15:13:01 Telnet login attempted from 202.130.229.217: user: ftp, password: ftp

Thu Dec 22 15:13:24 Telnet login attempted from 202.130.229.217: user: root, password: root888

Thu Dec 22 15:13:33 Telnet login attempted from 202.130.229.217: user: hell, password: hello

Thu Dec 22 15:13:40 Telnet login attempted from 202.130.229.217: user: shit, password: shit

Thu Dec 22 15:13:47 Telnet login attempted from 202.130.229.217: user: user, password: user

Thu Dec 22 15:13:51 Telnet login attempted from 202.130.229.217: user: guest, password: guest

……