操作系統被入侵后的修復過程
2020-10-24 13:31:57
供稿:網友
前言:由于工作的特殊性�����,接觸到這些東西���。這篇文章僅僅對一簡單入侵作分析�����,不具有rootki之類內核級木馬�!高手見笑�����,僅供參考
正文:剛剛當上學校某站的系統管理員�����,負責3臺主機,先檢查一下�,發現一臺主機skin目錄下有可疑文件存在。呵呵,剛上崗就發現問題��,嘻嘻���,好好表現����。
可以肯定,此主機被入侵。
操作:
1 系統采用2003+iis6.0 ,NTFS分區格式,權限設置正常�����。Pcanywhere10.0遠程管理�。頁面采用動力文章系統,版本3.51修改。 掛接另一網站����,采用動網修改版�。
2 測試發現��,前管理員未注意web安全�����。動力文章有嚴重上傳漏洞,而未修補����。動網版本7.00sp2 �,但不排除已被入侵��。隨即���,徹底檢查系統�����,未發現木馬���。確定主機系統安全��。但在web里發現大量webshell���,待清除��。Iis6.0 無日志記錄!
3 檢查修復 ( 備份當前web系統�����。)
A 時間查找法:根據上述文件的最早創建時間,搜索此時間以后創建和修改的所有文件����。又發現許多未知gif����,jpg����,asp,cer等格式文件。用記事本打開發現,俱為asp木馬��。備份����,刪除。
B 工具查找法:在手動查找之后,安裝殺毒軟件,全面殺毒�,除殺出少部分asp木馬��,未有其他發現。檢查用戶����,無異常。檢查C盤�����,無不明文件���。說明�,入侵者在獲得web權限后未進一步提升權限,但不排除安裝更隱蔽的木馬���。待查。
C 根據時間查找法��,發現正常asp文件有些已被修改����。其中,動力文章系統管理頁面被插入代碼����,將管理員密碼明文保存�。代碼與動網論壇明文獲取密碼代碼類似�。
在其他被修改的asp文件中,發現有動鯊網頁木馬��,icefox的一句話木馬�,海洋木馬等,均加密處理����。
D 修復�����;備份此web系統����,提取數據庫。刪除!還原數月前備份之系統����,檢查�,無木馬�!導入現在的數據庫。刪除動力文章上傳軟件的asp文件,加入防注入代碼��。修改所有web管理員密碼�����,修改所有系統管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼并限制ip�����。打開iis6.0日志記錄�。由于掛接的網站�,長期未更新,web管理員無法聯絡�����,更改路徑���,去除連接��,備用���!
分析: 由于主機權限設置問題��,入侵者可能無法提升權限�����。(可能已經獲得pcanywhere 密碼����,但主機長期保持鎖定狀態�����。據估計是入侵者技術尚淺�����。)由他所留文件分析。在獲得webshell的情況下,他上傳cmd文件���,但權限設置較好,估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件����,想開服務器3389端口��。但還是由于權限問題,無法提升。Ps:一臺主機如果安裝pcanywhere ,將無法開啟3389服務,其主要文件被pcanywhere替換����。開啟不了���。其他文件為察看進程��,安裝服務等工具,估計在未獲得更高權限的情況下�,得到的信息不足以獲取管理員權限�����。唯一注意的是�����,pcanywhere的密碼文件��,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見����,其中有pcanywhere的密碼文件*.cif ����,網上有密碼察看器��,但11.0版本無法察看�。呵呵��,升級一下吧��。
