去现栖凤湖回来，我累的要命，因为爬了一天的山，脚软软的全身无力，实在是要人命。回到家虽然才晚上八点多，但是我也跑睡觉去了。当然，睡觉之前不忘现在明天的例行功课冥想。</p>

早上醒来，我伸了一个懒腰，舒服！现在在已经是正式放寒假了，不用去上课，作业也可以留到快开学的时候再做，现在可空闲的很。有那么多空闲的时间，我当然是能玩则玩啦！因为我早就说过，我的自制力不好，而且还很贪玩。嘿嘿，不好意思，我说话的语气好像还为我贪玩而得意洋洋的~~ 其实我也知道这种性格不好，不过我虽然知道，但是还是没办法改！</p>

才八点多，要干什么呢？当然是给李想打电话先了。李想现在还没起床，声音里带着一种慵懒。我在电话里面和她腻了十几分钟，然后才挂了电话。喝了一瓶酸奶之后，当然是上网了！上网是我的最爱，叫我离开一天都不行。我马上开机拨号上网，开了icq，没有什么新的留言。b13的其他两个也真是的，都不知道再搞什么，那么久不联系我，害的我那么久没什么大行动，手都发痒。我给他们留了消息，提醒一下他们我的存在。然后我连接上刺密论坛。论坛经过几个月的发展，已经成为一个大型的黑客技术论坛了。论坛注册用户到达八万多，每天不同ip访问到达了两千多，平均在线也有三十多人。</p>

既然时间多，那么就先给论坛改版把。于是我在网上找各种需要的图片之类的东西。有一些需要的图片实在无法找到，只好用做合适我用的图片。我图形设计方面的功力还是不错的，photoshop和flash都很熟手。经过一早上的努力，终于把刺密论坛更新了一遍。我舒展了一下手臂，然后看看时间，已经是十一点多了。有点饿了，我就跑小区门口的快餐店吃了一顿快餐。</p>

论坛改版完成，现在才有一点时间看论坛的帖子。从考试开始，我已经几天没有来了，倒是有蛮多新贴的，我一一浏览。忽然一个有二十多回帖的帖子映入我的眼中“靠******，国内著名的黑客网站黑色天堂居然在主页上放置网页木马！”是“玉树临疯”写的。我看了标题，不禁吃了一惊。据我所知，这个黑客天堂是比较大规模的黑客网站，怎么可能会做在网站首页放网页木马这种事情？网页木马和普通的木马区别不大，不同之处是只要你浏览过某一个有网页木马的页面时，页面中的一些html代码会让你的电脑自动下载指定好的木马并且运行，可谓防不胜防。玉树临疯是刺密论坛里面的元老人物了，我和他算是熟人了，他技术好，人也不错，是不会凭白乱说的。我点击帖子的标题，看其中中的内容。</p>

玉树临疯在帖子中说他今天早上的时候，上黑客天堂下载一些工具。因为他这段时间正好在玩网页木马，开启了黑客天堂的首页之后，忽然发现一个进程在任务栏里一闪而过，和网页木马很相似，引起了他的怀疑。他马上查看内存进程，发现多了一个不知名的可疑进程。然后他就去查看黑白天堂首页的源代码。在经过一番细查之后，果然被他发现了网页木马的代码。他还把整个首页的代码连带在帖子之后。</p>

所有的回帖全部都是漫骂黑客天堂的，有的人说自己可能也中招了，有的则说要黑掉黑客天堂。我连忙打开黑客天堂的首页，果然任务栏处一个进程一闪而过。“哔哔……”音箱传来一阵声音，一个小窗口弹了出来“木马小精灵：发现木马程序，是否关闭此进程。y/n 木马文件名xf.exe，欲开启本机4455端口。”这是我自己做的一个防护程序木马小精灵，它可以防护现在网络上绝大部分的木马程序。呵呵，用绝大部分这个词当然是谦虚的说法啦，我有信心，可以防御99.9％的木马。看到黑白天堂首页居然真的有网页木马，我不禁有点火了。身为一个知名黑客网站，作出这种事情来真是丢脸。应该给它一个教训！</p>

我马上开启了扫描工具，对黑白天堂的ip进行扫描。不到一分钟，就得到了黑白天堂主机的扫描报告：win2000服务器版；无法探察到bios信息；无法探察到snmp信息；无法探察到路由信息；没有cgi漏洞；没有iis漏洞；开启端口有21的ftp服务端口，80的http服务端口，还有3389超级终端服务端口。靠！防护工作做的很不错，我不得不承认，毕竟是它黑客网站的主机，防护工作不好的话我反倒要奇怪了。嗯？怎么还有一个4455端口。4455端口是win2000的什么服务使用的端口？好像有点熟悉。忽然我记起来了，刚才木马小精灵拦截到的木马xf.exe，就是利用4455这个端口的！怎么回事？自己搞的木马怎么自己也中招了？奇怪。</p>

先不管那么多，把它的主机黑了再说把。可以利用的入侵手段不多，怎么入手呢？呵呵，没必要自己找自己麻烦。上次b2给我一些系统漏洞资料之后，我做了几个以那些漏洞为基础来入侵的工具，现在还没用过呢！今天就那你开刀！我在黑客工具文件夹里找到了那几个工具。黑客天堂的主机是win2000服务器版的，我选了那个专门针对win2000服务器版的入侵工具“mcs.exe”运行。这个专门针对win2000服务器版的工具，利用了一个微软公司还没有发现的cgi远程溢出漏洞，可以非常简单的入侵装有win2000服务器版的系统。工具的界面出来了，很简单的界面，只有一个输入框和一个按钮。我在输入框里输入了黑白天堂的ip地址，然后点“连接”按钮。顿时界面消失了，弹出了一个dos命令行窗口。哈哈~~ 这就成功啦！简单把？简直简单到让人觉得可怕的地步去了。</p>

不要小看这个dos命令行窗口，其实这个dos命令行窗口并不是我机器上的dos命令行窗口，而是黑白天堂的主机上的dos命令行窗口。我在这个命令行窗口里面运行的任何命令，相当于黑白天堂主机运行这些命令！有了这个窗口，事情就好办的多啦！我先输入命令，查看了一下系统里面有多少个用户。只有administrator系统管理员的帐号和guest来宾用户帐号。我查看了一下两个帐号，发现了一个奇怪的事情，guest帐号居然是管理员等级的帐号。这意味着什么？</p>

一台计算机的系统，帐号分成很多个等级，其中guest来宾用户等级的帐号是最低级的，来宾用户等级的帐号几乎是什么东西都不能做的，不能使用3389的终端服务，不能上传、下载、运行文件等等。administrator等级的帐号，是系统最高级帐号，有了这个帐号，几乎你可以做任何事情。一个黑客，基本上可以说要黑一台机器，是以拿到管理员权限为最终目标的。</p>

现在黑白天堂主机里的guest帐号居然是administrators等级，这是很明显被黑客黑过的痕迹。这其实是黑客常用的一种手法，这样可以在不引起管理员注意的情况下长期拥有管理员权限的帐号，也就是多了一台肉鸡。我在联想到刚才扫描到，黑白天堂的主机也中了它网页上的那个木马，开启了4455端口。心里忽然灵光一现：莫非黑白天堂首页的木马是因为主机被黑，黑客装上去的。如果是这样，这个黑客的水平还真的不错呢！</p>

我马上用命令把guest帐号的密码改掉，然后开启了3389终端的客户端，连接上黑白天堂的主机。输入guest帐号，密码则是我刚才改过之后的密码。果然，可以连接上黑白天堂的主机！查看帐号出，果然！明明是已经启用的guest显示的是“停用帐号”的图标！真的是被黑过了。因为这也是黑客常用迷惑管理员的手段之一。黑白天堂是黑客网站。它的管理员想必也常常用这招来对付别的管理员，不知道他有没有想过他自己也中这一招呢，想想都让人觉得搞笑。</p>

现在搞清楚了黑白天堂网站首页有木马的原因，我自然就不会在搞什么破坏了，毕竟人家是“无辜”的嘛，哈哈哈。现在既然不是来破坏的，那就帮它找找漏洞修补一下把。我把那个使用4455端口的木马杀掉，又把在首页上启动网页木马的代码删掉。接着我上传了一些自制的工具，开始检查系统漏洞。经过几分钟的查找，终于让我发现这个黑客入侵的途径，原来通过ftp的一个小漏洞入侵的。于是我动手给服务器打了漏洞的补丁，封堵了这个入侵通道。别的方面黑白天堂的防御力还是很强的，没什么可看的了。</p>