当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 简述一次操作系统被入侵之后的修复过程

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 简述一次操作系统被入侵之后的修复过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

 

  前言:由于工作的特殊性,接触到这些东西。这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考

  正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在。呵呵,刚上岗就发现问题,嘻嘻,好好表现。

  可以肯定,此主机被入侵。

  操作:

  1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常。Pcanywhere10.0远程管理。页面采用动力文章系统,版本3.51修改。 挂接另一网站,采用动网修改版。

  2 测试发现,前管理员未注意web安全。动力文章有严重上传漏洞,而未修补。动网版本7.00sp2 ,但不排除已被入侵。随即,彻底检查系统,未发现木马。确定主机系统安全。但在web里发现大量webshell,待清除。Iis6.0 无日志记录!(晕) 

  3 检查修复 ( 备份当前web系统。)

  A 时间查找法:根据上述文件的最早创建时间,搜索此时间以后创建和修改的所有文件。又发现许多未知gif,jpg,asp,cer等格式文件。用记事本打开发现,俱为asp木马。备份,删除。

  B 工具查找法:在手动查找之后,安装杀毒软件,全面杀毒,除杀出少部分asp木马,未有其他发现。检查用户,无异常。检查C盘,无不明文件。说明,入侵者在获得web权限后未进一步提升权限,但不排除安装更隐蔽的木马。待查。

  C 根据时间查找法,发现正常asp文件有些已被修改。其中,动力文章系统管理页面被插入代码,将管理员密码明文保存。代码与动网论坛明文获取密码代码类似。

  在其他被修改的asp文件中,发现有动鲨网页木马,icefox的一句话木马,海洋木马等,均加密处理。

  D 修复;备份此web系统,提取数据库。删除!还原数月前备份之系统,检查,无木马!导入现在的数据库。删除动力文章上传软件的asp文件,加入防注入代码。修改所有web管理员密码,修改所有系统管理员密码. 升级pcanywhere 到11.0 修改pcanywhere 的密码并限制ip。打开iis6.0日志记录。由于挂接的网站,长期未更新,web管理员无法联络,更改路径,去除连接,备用!

  分析:由于主机权限设置问题,入侵者可能无法提升权限。(可能已经获得pcanywhere 密码,但主机长期保持锁定状态。据估计是入侵者技术尚浅。)由他所留文件分析。在获得webshell的情况下,他上传cmd文件,但权限设置较好,估计为能获取的太多信息。上传2003.bat xp3389.exe 等文件,想开服务器3389端口。但还是由于权限问题,无法提升。Ps:一台主机如果安装pcanywhere ,将无法开启3389服务,其主要文件被pcanywhere替换。开启不了。其他文件为察看进程,安装服务等工具,估计在未获得更高权限的情况下,得到的信息不足以获取管理员权限。唯一注意的是,pcanywhere的密码文件,是everyone可以察看的,在*:\Documents and Settings\All Users\Application Data\Symantec ,此目录为everyone可见,其中有pcanywhere的密码文件*.cif ,网上有密码察看器,但11.0版本无法察看。呵呵,升级一下吧。