发展
越来越多人都喜欢用计算机办公发邮件建设自己个人站点公司建立自己企业站点政府也逐渐采取了网上办公更好为人民服务银行和证券机构也都开始依托互联网来进行金融和股票交易但是随着方便同时也同时带来了新
些计算机网 我直从事病毒分析网络攻击响应相关工作这次应好朋友邀请帮忙配合去协查几台服务器我们来到了某XXX驻地首先进行例行检查
经过了1天左右时间检查其中用到了些专用设备也包含自主编写工具以及第 3方提供勘察取证软件Software共发现问题主机服务器10台其中2台比较严重(以下用A服务器和B服务器来代替)和朋友商定后决定带回我们实验室进行专项深入分析 习惯
检查步骤操作: 服务器操作系统版本信息——>操作系统补丁安装情况——>操作系统安装时间
中间有没有经过进行重新安装——>服务器维护情况——>服务器上面安装软件Software版本信息 日志检查——IDS日志信息/IIS日志信息/系统日志信息
网站WebSite代码审查——是否存在
句话木马源代码上是否存在恶意代码插入 杀毒软件Software版本更新情况——是否是最新版本
配置是否合理配套监视是否全部打开 数据恢复——>利用专用数据恢复软件Software进行数据恢复
恢复些被删除日志信息和系统信息曾经安装过文件操作信息 提取可疑文件(病毒、木马、后门、恶意广告插件)——在系统文件目录利用第 3方或者自开发软件Software
对可疑文件进行提取并进行深度分析 上述步骤是我个人整理总结
有不妥地方还请朋友们指正介绍完理论我们来实战处理下这两台服务器 A服务器检查处理过程
该A服务器所装
操作系统是Advanced 2000 server服务器上安装有瑞星2008杀毒软件Software病毒库已经更新到最新版本但是并没有安装网络防火墙和其他系统监视软件Software安装ftp服务器版本为server-u 6.0(存在溢出攻击威胁) 对原始数据进行恢复 利用Datarecover软件Software来恢复
些被删除文件,目是希望从被删除文件来找出些木马或者后门以及病毒进行深度分析把曾经做过格式化以及在回收站中删除过文件恢复过来但是遗憾是成功拿下这台服务器权限黑客已经做了专业处理把他些痕迹进行了全面清理个人认为他使用了日本地下黑客组织开发专项日志清除工具经过我和助手共同努力还是把系统日志恢复到当年5月份 2 手工分析可疑文件
在本服务器
c盘根目录下面有个
hc..exe 文件这个文件是微软自带是系统粘制键真实大小应为27kb而这个文件为270kb起初我以为是由于打补丁原因但是经过翻阅些资料和做比对的后才知道这样文件是个新开发流行后门主要使用方法:通过3389终端然后通过5次敲击sh
t键直接
hc.exe而直接取得系统权限随后达到控制整个服务器通常他还是通过删除正常些c盘exe文件然后把自己伪造成那个所删除exe文件名造成种假象 这里我们提供解决思路方法如下:个人建议这个功能实用性并不高
建议直接删除这个文件如果有人利用这个手法来对你服务器进行入侵那就肯定是有人做了手脚可以第时间发现黑客入侵行为也可以作为取证分析个思路;在控制面板辅助功能里面设置取消粘制键 3、 利用专用防火墙检查工具去查看网络连接情况
目
是通过抓数据包来找出问题如果对方安装有远程控制终端他肯定需要让保存在服务器上后门和控制终端进行通话会有个会话连接通过防火墙拦截功能而去寻找出控制源头这个上面没有发现存在反弹木马所以没有看到入侵源头 4、检查系统日志
作用:检查系统日志是否被入侵者清除
如果日志被入侵者删除需要用数据恢复软件Software恢复操作系统日志 检查内容:主要包括IIS日志
安全性日志系统日志 更近
步深入检查: 找到日志后
仔细分析网站WebSite是否有入侵者留下webshell,尤其是句话后门 根据Webshell
名字 在IIS 访问日志里搜索相关名字找到入侵者常用ip地址分析ip地址 还可以根据此IP地址检索IIS日志中
此入侵者都进行过什么样操作 技术点滴:如果你比较熟悉Webshell
通过Get操作可以知道入侵者都进行过何种操作
Get操作是被系统记录 如果入侵者装有系统级
后门用常用工具比如冰刃(IceSword),
Repair Engineer (SREng)等分析出可疑文件用其他调试工具分析找到入侵者控制端IP地址 通过服务器日志查出隐藏在后面
幕后黑客 通过iis
log访问日志排查出 3个可疑目标其中个手法相对于后两个入侵者更熟练些他在今年5月份左右或者更早就拿到了该服务器权限上来的后到是没有做任何添加和修改从技术上来看他是通过寻找网站WebSite注入点进来然后在上面放了不少后门还放了个mm.exe文件但是技术问题没有把这个马运行起来从外部访问只是在主页上显示为mm.jpeg伪装成了图片但是打开以后什么都没有经过我们分析以后它是张裸女jpeg文件如果他这个mm.exe成功完全有可能将该主站页面换成张黄色图片危害还是有另外该站点权限给过高在访问新闻频道时候直接就是sa权限这个是最高系统级和Admin是个级别 由于服务器被网管人员重新装过
初步怀疑是用ghost安装造成了原珍贵日志数据无法找回我们只能分析出7月份-12月份这段时间日志通过这些日志我们又发现了针对此站点入侵记录 入侵者操作再现:(黑客入侵操作过程分析)
2007-07-15 14:51:53 61.184.107.206 添加管理用户 net localgroup administrator Cao$Content$nbsp;/add
2007-07-15 15:08:56 61.184.107.206 写下载exe
vbs脚本 c:\admin.vbs 试图下载exe地址为:http://www.520hack.com 2007-08-12 09:48:45 218.205.238.6 写入webshell小马:d:\ybcenter\gg3.asp shell里留
QQ:183037的后此人频繁用此后门登陆服务器 2007-08-25 08:03:15 218.28.24.118 曾访问他以前留下
操作数据库webshell /system/unit/
.asp 此后门可以浏览到敏感数据库信息 2007-08-25 08:12:45 218.28.24.118 写入另
个webshell D:\ybcenter\ggsm.asp 的后
218.28.24.118用以前留下功能比较全webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操作服务器上文件 2007-11-11 14:23:23 218.28.24.118 用他曾经留下
操作数据库后门/service/asp.asp访问敏感数据库信息 2007-08-25 08:27:57 218.28.24.118 用他曾经留下
操作数据库后门/system/unit/sql.asp访问敏感数据库信息 2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下
操作数据库后门/yb/in_3.asp访问敏感数据库 2007-08-06 12:42:41 218.19.22.152 写下载脚本C:\down.vbs 下载
exe为http://www.520hack.com 2007-08-09 11:57:16 218.19.98.147 写ftp下载exe
脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe 2007-08-26 07:43:47 123.5.57.117 试图攻击服务器
2007-08-26 07:43:47 123.5.57.117 写ftp下载exe
脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe 2007-12-10 12:41:34 123.52.18.141 检测注入
5、查看登陆信息 查看是否存在有克隆帐户
思路方法:检查注册表里面
sam文件有没有相同fv在这里检查过程中没有发现存在有克隆帐号 6、查看系统安装日志
在这里并未发现问题 7、 查看IIS访问日志
在这里发现了攻击者信息 2007-12-01 08:55:16 220.175.79.231 检测注入
2007-12-03 18:40:48 218.28.68.126 检测注入
2007-12-04 01:31:32 218.28.192.90 检测注入
扫描web目录 2007-12-04 23:23:33 221.5.55.76 检测注入
2007-12-05 09:20:57 222.182.140.71 检测注入
2007-12-08 09:39:53 218.28.220.154 检测注入
2007-12-08 21:31:44 123.5.197.40 检测注入
2007-12-09 05:32:14 218.28.246.10 检测注入
2007-12-09 08:47:43 218.28.192.90 检测注入
2007-12-09 16:50:39 61.178.89.229 检测注入
2007-12-10 05:50:24 58.54.98.40 检测注入
定位可疑IP地址
追踪来源 查出IP地址信息 8、查看网站WebSite首页
源代码在rame 这个位置查看是否有不属于该网站WebSite网站WebSite信息(查找 网马思路方法)以及如何发现些潜在木马和网络可利用漏洞 下面是我们得到
些他网马 gg3.asp Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.g
attach/chongtian.g
attach/111.rar
system/unit/yjh.asp
system/unit/conn.asp 加入防注入
Q:6242889678
images/mm.jpg = exe自解压 主页包含文件
句话木马: 备份
句话木马 注射检查
在IIS里面查找是否存在有针对 %20 and 1=1’sql ’or’=’or’ a’or’1=1-- ,’or1=1-- ,"or1=1-- ,or1=1--, ’or’a’=’a, "or"="a’=’a等
作用:躲避验证信息 主要用在后台登陆上
%5c 爆数据库
作用直接下载服务器上数据库获得用户名和密码经过系统提权而拿到整个服务器权限 针对
些下载者这样木马 主要需要在windows /document and ting下面local ting temp 或者 temp 
ernet这个文件夹中查看刚生成exe文件重点查看下在system32文件夹下面exe文件尤其关注最新生成exe文件伪造系统文件等 以上就是针对A服务器
整个检查过程以及发现问题后该如何处理和补救相关解决思路方法 B服务器检查取证分析
B服务器装
是windows2000 server版本操作步骤同上 经过
段细心检查还是让我和助手们发现了个木马起因是在网站WebSite源代码处发现都被插入了些奇怪代码在system32系统文件夹下还发现了新niu.exe,非常可疑提取该exe文件在虚拟机中进行分析得出该exe工作原理: 该exe属木马类
病毒运行后判断当前运行文件文件路径如果不是%32%\SVCH0ST.EXE将打开当前文件所在目录复制自身到%32%下更名为SVSH0ST.EXE并衍生autorun.inf文件;复制自身到所有驱动器根目录下更名为niu.exe并衍生autorun.inf文件实现双击打开驱动器时自动运行病毒文件;遍历所有驱动器在htm、asp、aspx、php、html、jsp格式文件尾部插入96个字节病毒代码;遍历磁盘删除以GHO为扩展名文件使用户无法进行系统还原;连接网络下载病毒文件;修改系统时间为2000年;病毒运行后删除自身 此文来自: 黑色水银’BLOG
篇文章: 例子:对某ASC加密网马破解和利用篇文章: 没有了
最新评论