天天干精品,成人午夜免费视频毛片,手机在线观看一级午夜片

網(wǎng)站被入侵后需做的檢測

2012.04.28

先分析入侵者都做了些什么！

記得為了方便在他機器上裝了RADMIN，登錄了一下，密碼也不對了，看來是有人上去了，而且入侵者還拿到了系統(tǒng)管理員權(quán)限。

跑到機房，拿出ERD COMMANDER，改了密碼，重啟，進入系統(tǒng)后第一步升級帳戶，多了一個hud$的用戶，administrators組，刪除，再看guest用戶雖然禁用狀態(tài)，但是說明內(nèi)容不對了。仔細一看，administrators組，同樣刪除。接著看了下其他用戶，組別都正常，把遠程連接權(quán)限都去掉后，賬號方面算是處理完了。

接著看看各個硬盤C:\下面有如下文件：

sqlhello.exe 
sqlhello2.exe 
result.txt 
1.bat 
2.bat

編輯了下1.bat，里面內(nèi)容都是掃描整個網(wǎng)段?？磥硎怯腥四眠@臺機器當跳板了，移動所有文件到其他目錄。

接著審計應(yīng)用程序，考慮這臺機器的用途和環(huán)境。是WINDOWS2000+IIS+SERV-U 。先看SERV-U審計用戶，看看有沒有別人加system權(quán)限的FTP用戶，查看下來沒有。執(zhí)行權(quán)限也沒有，鎖定目錄狀態(tài)都是對的。看了下沒有記錄日志。然后看了版本。5.0.0.4...ft了，早讓他升級，就是不升，看來是被入侵的第一步，先升級到6.0.0.2 。FTP這里應(yīng)該沒什么問題了。

IIS方面的分析：

開著日志記錄，太好了，等會兒分析日志。繼續(xù)看，其他都是默認配置，先在應(yīng)用程序映射里把所有的文件類型都刪除干凈只保留.ASP和.ASA 。

審計文件權(quán)限，設(shè)定各個分區(qū)和目錄的權(quán)限。

接著審查木馬情況，由于系統(tǒng)不能重裝，所以只能加固原有已經(jīng)被入侵的系統(tǒng)，考慮到這個入侵者添加的用戶的情況以及在C根目錄放文件還有日志都是開放等等情況，估計水平不會很高，也不會植入自己編寫的木馬。

使用了朋友thrkdev編的ATE來查了一遍，看來沒有已知木馬。

接著查找WEBSHELL，考慮到入侵者水平，最多也就用用海陽，而且最多也就把部分版權(quán)信息去掉，搜索所有內(nèi)容包含lcx的.ASP文件。

果然，4個文件。

2005.asp
ok.asp
dvbbs7.asp
aki.asp

看來分析還是比較準確的，除了dvbbs7.asp有點創(chuàng)意，移動這些文件到其他目錄，供以后審計用。

然后是網(wǎng)絡(luò)部分，TCP過濾未開，IPSEC未指派。先把NETBIOS關(guān)掉，然后TCP內(nèi)只允許20,21,80,3389 ?？紤]到反向木馬的可能性，在IPSEC內(nèi)打開本機SPORT 20,21,80,3389到外部任意端口，其他從內(nèi)部往外的一律屏蔽。

系統(tǒng)萃取，把一些無關(guān)服務(wù)與軟件關(guān)閉或者卸載。對系統(tǒng)進行補丁升級，還好補丁還是沒有缺，把自動UPDATE設(shè)置到自動安裝。

最后一步是分析日志，看看有沒有遺漏的地方，系統(tǒng)本身的日志都被關(guān)閉了。看來入侵者還是比較小心。

打開該審計的部分，在關(guān)鍵目錄，比如系統(tǒng)目錄加上了審計，使得所有對C:\WINNT的創(chuàng)建文件的成功與失敗都記錄在日志內(nèi)。

由于前面提到SERV-U日志原來并未記錄，只能打開IIS日志查找對于找到的4個WEBSHELL的訪問情況，找到了訪問的IP，回查，來自一個固定IP地址，瀏覽了一下，得到信息后給對方管理員去郵件通知他們做好安全工作。

其實還有一些部分內(nèi)容應(yīng)該做而限于有些條件沒有做的。

1.更換系統(tǒng)默認用戶用戶名

因為兄弟他們對計算機不熟，就沒有更換，不過要求他們使用更加強壯的密碼了。

2.對于加密的webshell的查找

上述內(nèi)容中對于WEBSHELL只查找了一種，并且只針對明文編碼的頁面程序進行了查找，應(yīng)該是可以加入對于編碼后ASP WEBSHELL的搜索。

還有搜索內(nèi)容應(yīng)該由簡單的LCX擴展到wscript.shell等更加廣泛與匹配的關(guān)鍵詞的查找。

3.對于木馬的查找

由于預(yù)估入侵者水平不高，所以這項只依靠殺木馬軟件進行了搜索，如果有時間的話，還是應(yīng)該手工進行查找。