如何查看隐藏用户 查看，删除服务器后门

在命令模式下删除

1你在MS-dos下先输入net user 看有那些用户， 注意第一步看不出隐藏的用户

2

然后在输入net localgroup administrators 或者 net localgroup users

说一下第2步是看出隐藏用户属于那个组，你明白我的意思吗？ aministrators和users

是组，我们以组的名义查看，一目了然！~隐藏用户出现了。

在注册表中删除

去注册表里删除你在注册表下，打开你的SAM把里面的东西删除!再在用户管理面中把这个帐号删除掉!HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers

使用regedit打开注册表编辑器

找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]，这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。

子分支[Names]下是用户名，每个对应上面的SAM项。

查找隐藏的帐户就比较两个用户名的SAM值完全一样的就说明其中一个是克隆帐户。你可以在这里删除其用户名。

一般推荐分别导出用户名项和对应的SAM，然后找一个关键字分析比较。具体比较的方法多种多样自己看了。

目前有种系统级后门，可以在有管理员帐户登入的时候自动删除这里的克隆帐户值，等你退出了又自动恢复。遇到这种的情况，这里是查不出来的。一般这种后门都是高手搞的，免杀。

遇到这种情况，建议找专业安全人员处理。

另外：本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户，这里可以查出默认的guest是否被克隆了，如果这个帐户被克隆这里会显示出真正的克隆后的用户名。

1、检查系统密码文件

首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

awk –F: ‘length($2)==0 {print $1}’ /etc/shadow

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd

inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。

输入ps –aef 查看输出信息，尤其注意有没有以/xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，

接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。

3、检查系统守护进程

检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。

一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat –rn，查看本机的路由、网关设置是否正确。

输入 ifconfig –a，查看网卡设置。

5、检查系统日志

命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。

在linux下输入ls –al /var/log

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

一、黑链防范

一般黑客会在网站的首页或者内容页挂上一段代码，让搜索引擎认为网站导出了一个链接，而且这段代码是非常隐蔽的，在我们平时简单的网站维护中是看不到的，此时就可以通过IE的查看菜单，找到源文件，并且通过Ctrl+F进行查找。

二、木马防范

通常木马都是在html页面中加入了一句Iframe代码，而这段代码很容易通过js脚本下载到客户机上面，从而让别人的电脑感染木马病毒。

三、服务器安全

有些空间商为了节约成本，没有安装质量高的杀软，从而让服务器出现了很多的后门，这些后门往往就被一些黑客添加了很多新的管理账户，然后就被黑客拿走了webshell，虽然现在市场上的webshell比较的廉价，但是黑客可以黑空间商从而进行批量的出售。

四、webshell防范

其实webshell的获得不仅仅能够通过破解服务器后门获得，我们通过php。Asp等注入漏洞也能够获得，所以对于相关的cms建站程序，要及时的进行修复升级，将这些注入漏洞都屏蔽掉。

问题一：网络中后门是什么意思？ bac钉door

留下的隐藏程序

开启特定端口,等待控制者随时连接并对该电脑进行操作

后门是一个形象化的说法

问题二：7，网络后门的功能是（） A

问题三：软件有后门是什么意思？ 上面的人 你们懂不懂简单点来说就是 写软件的人 为了某种目的 故意在软件编写的脚本中 留下一些 能够为将来 对该软件 或者使用该软件的人 进行一些 不可告人的目的的操作故意编写的一些 恶意编码 为了将来的远程控制 窃取信息 或者是 恶意破坏 比如 以前某反病毒公司 为了防止盗版 就在软件中注入了 病毒程序 只要检测到 该用户没有用正版 该病毒就发作 致使用户电脑瘫痪 无法使用 就是典型的 后门程序~

问题四：黑客所说的后门是什么？怎样进入后门？用什么软件？ 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。

还不错，希望你采纳。

问题五：后门是意思什么 后门程序是入侵者普便使用的程序，后门程序又称为：特洛伊木马(Trojan Horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中，麦尼劳斯派兵讨伐特洛伊，但逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，又得到“木马”这个奇异的战利品，全城饮酒狂欢。到午夜时，全城军民尽入梦乡，藏匿于木马中的将士打开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。后来称这只大木马为“特洛伊木马”，所以也就有了电脑里的特洛伊木马。

特洛伊木马有以下的特点：

● 主程序有两个，一个是服务端，另一个是控制端。

● 服务端需要在主机执行，程序体积十分细小，执行时不会占用太多资源，第一次执行后就会自动登录在系统激活区，之后每次在 Windows 加载时自动执行。

● 一般特洛伊木马程序都是隐蔽的进程，执行时很难停止它的活动。

● 当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，则会执行相应的任务。

在许多人眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病毒的特性。(包括：转播，感染文件等。)

特洛伊木马是指一个程序表面上在执行一个任务，实际上却在执行另一个任务。入侵者的特洛伊木马程序事先已经以某种方式潜入受害的机器中，并在适当的时候激活，潜伏在后台监视系统的运行。它同一般程序一样能实现任何软件的任何功能。例如，拷贝、删除文件、格式化硬盘，甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的账号和口令，它有时在用户合法登录前伪造一个登录现场，提示用户输入账号和口令，然后将账号和口令保存至一个文件中，显示登录错误，退出特洛伊木马程序。用户还以为自己输错了，再试一次时，已经是正常的登录了，用户也就不会有怀疑。其实，特洛伊木马已完成了任务。更为恶性的特洛伊木马则会对系统进行全面破坏。

特洛伊木马最大的缺陷在于，必须先想方设法将木马程序植入到用户的机器中去。这也是为什么建议普通用户不要轻易地执行电子邮件中附带程序的原因之一，因为特洛伊木马可能就在你的鼠标单击之间悄然潜入到了你的系统之中。接下来我们将详细介绍一些常用木马的使用，了解一下入侵者是如何控制受害计算机的。

问题六：后门程序是什么 打开了会怎样 20分 通过后门可以完全控制你的电脑。**你的资料信息，监控你的摄像头（前提是你的视屏链接在电脑上），遥控你的电脑成为网络僵尸的一员~~就和个傀儡差不多

问题七：计算机网络中,留后门的原则是什么 没有原则，

其实留后门和下马都是一个道理，就是想叫自己

今后可以轻而易举的进进出出，不过对于后门

很多情况下都想到了“木马”。也可以这么说。

不过道上稍微有些锭脑的人都知道，最隐秘、最

有效的后门不是在对方的机器上放什么“马”。

而是在对方的系统设置里动些手脚，在不安装额外

程序的同时，给自己留一个方便。

问题八：什么是软件后门？每个软件都有吗 当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘密入口。在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。

/按照正常操作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。

这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人用穷举搜索法发现利用。

问题九：什么是后门程序 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。与木马的关系　　后门程序，跟我们通常所说的木马有联系也有区别　　联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制　　区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一　　而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样具体含义　　后门程序又称特洛依木马，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。　　后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。后门的类型　　后门包括从简单到奇特，有很多的类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，你当输入特定的密码时，你就能以管理员的权限来存取系统。　　后门能相互关联，而且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的防卫性能。也可能会安装一个木马程序，使系统打开一个安全漏洞，以利于黑客完全掌握系统。　　以上是在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!――很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!　　下文将以笔者从事网络安全多年的工作经验为基础，给广大的网络初级安全爱好者讲解一些网络上常 用的后门的种类和使用方法以及技巧，希望大家能在最短的时间内学习到最好的技术，提升自己的网络安全技术水平!后门的分类　　后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：网页后门　　此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如现在非常流行的ASP、cgi脚本后门等。线程插入后门　　利用系统自身的某个服务或者线程，将后门程序插入到其中，具体原理原来《黑客防线》曾具体讲解过，感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。扩展后门　　所谓的“扩展”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，这种后门本身就相当于一个小的安全工具包，能实现非常多的常驻见安全功能，适合新手使用――――但是，功能越强，个人觉得反而脱郭后门“隐蔽”的初衷，具体看法就看各位使用都的喜好了。c/s后门　　和传统的木马程序类似的控制方法，采用“客记端/服务端”的控制方式，通过某种特定的访问方式来启动后门进而控制服务器。

问题十：为什么软件有后门？有什么作用？如何给软件制作后门？如何知道一个软件有没有后门？ 5分 太专业的东西学了也没用，除非你想当黑客，常杀毒，少看某些网站即可

一、黑链防范

一般黑客会在网站的首页或者内容页挂上一段代码，让搜索引擎认为网站导出了一个链接，而且这段代码是非常隐蔽的，在我们平时简单的网站维护中是看不到的，此时就可以通过IE的查看菜单，找到源文件，并且通过Ctrl+F进行查找。

二、木马防范

通常木马都是在html页面中加入了一句Iframe代码，而这段代码很容易通过js脚本下载到客户机上面，从而让别人的电脑感染木马病毒，为了解决这

个问题，我们可以在首页中查询iframe开头的段落，然后再利用工具进行排查，另外高深一点的黑客还会使用js脚本语言来挂木马，这种木马的清理难度就

会比较大了，通常可以从后台文件夹中的php和asp文件中进行查找，然后在复制到文本替换工具中，然后再对整站的文件夹进行替换就可以了，如果还有高手

利用js加密的形式来入侵你的网站并进行挂马的话，那就要对整个网站进行清理了，同时包括数据库，后台以及服务器等!

三、服务器安全

有些空间商为了节约成本，没有安装质量高的杀软，从而让服务器出现了很多的后门，这些后门往往就被一些黑客添加了很多新的管理账户，然后就被黑客拿走了

webshell，虽然现在市场上的webshell比较的廉价，但是黑客可以黑空间商从而进行批量的出售，为了防止服务器后门被攻击，我们可以通过一直

按数次的shift键然后就提示你可以进入后台了，此时就可以定期的检查后台是否有不明身份的账户存在，如果有的话就要立即删除，同时在仔细检查服务器里

面的管理组用户，看看有没有什么不明的用户，当然适当的备份是非常有必要的!

四、webshell防范

其实webshell的获得不仅仅能够通过破解服务器后门获得，我们通过php。Asp等注入漏洞也能够获得，所以对于相关的cms建站程序，要及时的进行修复升级，将这些注入漏洞都屏蔽掉，另外平时多学习服务器及网站的安全防范知识，从多种途径解决网站漏洞的问题!

百度：大牛SEO就可以找到我咯O(∩_∩)O~，欢迎多多交流沟通