Netstat을 이용하여 트로이 공격 확인하기
로빈아빠
본문
netstat 는 잘만 사용하면 내 컴퓨터에 깔린 트로이를 발견할 수도 있고 ICQ나 AIM 등의 채팅 프로그램 밎 냅스터, 소리바다 등의 MP3 다운 프로그램을 사용할 때 상대방의 IP 번호를 알아낼수 있다.
1) netstat 실행하기
시작 - 프로그램 - 한글 MS-DOS 를 클릭해 도스창을 연다.
C:\\windows 라고 써 있고 커서가 깜빡깜빡거릴 것이다. 여기에 netstat 를 입력하고 엔터를 친다.
대충 다음과 같은 화면이 나타날 것이다.
Proto Local Address Foreign Address State
TCP idiot:1408 cs5.msg.yahoo.com:5050 ESTABLISHED
TCP idiot:2013 drill.hackerslab.org:telnet TIME_WAI
왼쪽 맨 위의 Proto는 프로토콜 즉 TCP/UDP 등등을 보여준다.
Local Address 는 열려있는 로컬 IP/호스트네임:포트 를 말한다.
Foreign Host 는 현재 내 컴퓨터에 접속되어있는 IP/호스트네임과 포트를 알려준다.
그리고 나서 맨 오른쪽에 보는 것이 현재 접속된 상태이다.
만일 연결되었다면 ESTABLLISHED 로, 접속을 기다리는 상태라면 LISTENING 으로 나올 것이다. 이 사실로 이제 우리는 더이상 당하지 만은 않는 경지로 부화할 준비가 되었다.
2) 열린 포트 알아내기
내 컴퓨터에 뭔가 이상한 일이 일어나고 있다는 생각이 최근에 든 적이 없었는지. 가만 놔두는데도 CD롬이 유령처럼 갑자기 열렸다 닫혔다 하질 않나, 파일을 분명 저장해 놓았는데 없어졌다든가... 이럴땐 누군가 트로이 목마를 내 컴퓨터에 심어놓은 게 아닌가 의심해 보아야 한다. 트로이를 제거하려면 우선 그것이 어디에 있는지부터 알아야 한다. MS-DOS 를 연다. netstat 에는 여러가지 옵션이 있다.
C:\\WINDOWS\\netstat ?
라고 입력하고(netstat 하고 한칸 띌것) 엔터를 치면 다음과 같이 나타난다.
C:\\WINDOWS\\netstat ?
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with the -s
option.
-n Displays addresses and port numbers in numerical form.
-p proto Shows connections for the protocol specified by proto; proto
may be TCP or UDP. If used with the -s option to display
per-protocol statistics, proto may be TCP, UDP, or IP.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics are
shown for TCP, UDP and IP; the -p option may be used to specify
a subset of the default.
interval Redisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.
위의 옵션 사용법은 C:\\WINDOWS> 에 netstat 하고 옵션을 입력, 엔터를 치면 된다. 예를 들어 -a 옵션을 택하면 C:\\WINDOWS>netstat -a 를(netstat 하고 한칸 띄고 나서 -a 를 입력한다), -n 옵션은 C:\\WINDOWS>netstat -n 이다. 이중 중요한 것은 -a 와 -n 옵션이다. -a 는 현재 연결되어있는 모든 상태를 보여준다. -n 은 번호로 즉, IP 번호로 보여준다. netstat -an 은 모든 연결을 호스트네임 대신 IP 번호로 보여준다.
이제 netstat 를 사용하는 법을 간단히나마 배웠다. 이제 실제로 해 보자. 그래서 넷버스 트로이 전용포트인 12345 나 섭세븐 전용포트인 1243 이 열려있는지 본다.
다음은 가장 일반적인 트로이목마 포트 리스트이다. 만일 아래 포트중 하나라고 열려있으면 내 컴퓨터는 트로이에 감염된 것이다.
Satanz Backdoor|666
Silencer|1001
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
1) netstat 실행하기
시작 - 프로그램 - 한글 MS-DOS 를 클릭해 도스창을 연다.
C:\\windows 라고 써 있고 커서가 깜빡깜빡거릴 것이다. 여기에 netstat 를 입력하고 엔터를 친다.
대충 다음과 같은 화면이 나타날 것이다.
Proto Local Address Foreign Address State
TCP idiot:1408 cs5.msg.yahoo.com:5050 ESTABLISHED
TCP idiot:2013 drill.hackerslab.org:telnet TIME_WAI
왼쪽 맨 위의 Proto는 프로토콜 즉 TCP/UDP 등등을 보여준다.
Local Address 는 열려있는 로컬 IP/호스트네임:포트 를 말한다.
Foreign Host 는 현재 내 컴퓨터에 접속되어있는 IP/호스트네임과 포트를 알려준다.
그리고 나서 맨 오른쪽에 보는 것이 현재 접속된 상태이다.
만일 연결되었다면 ESTABLLISHED 로, 접속을 기다리는 상태라면 LISTENING 으로 나올 것이다. 이 사실로 이제 우리는 더이상 당하지 만은 않는 경지로 부화할 준비가 되었다.
2) 열린 포트 알아내기
내 컴퓨터에 뭔가 이상한 일이 일어나고 있다는 생각이 최근에 든 적이 없었는지. 가만 놔두는데도 CD롬이 유령처럼 갑자기 열렸다 닫혔다 하질 않나, 파일을 분명 저장해 놓았는데 없어졌다든가... 이럴땐 누군가 트로이 목마를 내 컴퓨터에 심어놓은 게 아닌가 의심해 보아야 한다. 트로이를 제거하려면 우선 그것이 어디에 있는지부터 알아야 한다. MS-DOS 를 연다. netstat 에는 여러가지 옵션이 있다.
C:\\WINDOWS\\netstat ?
라고 입력하고(netstat 하고 한칸 띌것) 엔터를 치면 다음과 같이 나타난다.
C:\\WINDOWS\\netstat ?
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
-a Displays all connections and listening ports.
-e Displays Ethernet statistics. This may be combined with the -s
option.
-n Displays addresses and port numbers in numerical form.
-p proto Shows connections for the protocol specified by proto; proto
may be TCP or UDP. If used with the -s option to display
per-protocol statistics, proto may be TCP, UDP, or IP.
-r Displays the routing table.
-s Displays per-protocol statistics. By default, statistics are
shown for TCP, UDP and IP; the -p option may be used to specify
a subset of the default.
interval Redisplays selected statistics, pausing interval seconds
between each display. Press CTRL+C to stop redisplaying
statistics. If omitted, netstat will print the current
configuration information once.
위의 옵션 사용법은 C:\\WINDOWS> 에 netstat 하고 옵션을 입력, 엔터를 치면 된다. 예를 들어 -a 옵션을 택하면 C:\\WINDOWS>netstat -a 를(netstat 하고 한칸 띄고 나서 -a 를 입력한다), -n 옵션은 C:\\WINDOWS>netstat -n 이다. 이중 중요한 것은 -a 와 -n 옵션이다. -a 는 현재 연결되어있는 모든 상태를 보여준다. -n 은 번호로 즉, IP 번호로 보여준다. netstat -an 은 모든 연결을 호스트네임 대신 IP 번호로 보여준다.
이제 netstat 를 사용하는 법을 간단히나마 배웠다. 이제 실제로 해 보자. 그래서 넷버스 트로이 전용포트인 12345 나 섭세븐 전용포트인 1243 이 열려있는지 본다.
다음은 가장 일반적인 트로이목마 포트 리스트이다. 만일 아래 포트중 하나라고 열려있으면 내 컴퓨터는 트로이에 감염된 것이다.
Satanz Backdoor|666
Silencer|1001
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
관련링크
댓글목록
등록된 댓글이 없습니다.