前言:由於工作的特殊性,接觸到這些東西。這篇文章僅僅對一簡單入侵作分析,不具有rootki之類內核級木馬!高手見笑,僅供參考
正文:剛剛當上學校某站的系統管理員,負責3台主機,先檢查一下,發現一台主機skin目錄下有可疑文件存在。呵呵,剛上崗就發現問題,嘻嘻,好好表現。
可以肯定,此主機被入侵。
操作:
1 系統采用2003+iis6.0 ,NTFS分區格式,權限設置正常。Pcanywhere10.0遠程管理。頁面采用動力文章系統,版本3.51修改。 掛接另一網站,采用動網修改版。
2 測試發現,前管理員未注意web安全。動力文章有嚴重上傳漏洞,而未修補。動網版本7.00sp2 ,但不排除已被入侵。隨即,徹底檢查系統,未發現木馬。確定主機系統安全。但在web裡發現大量webshell,待清除。Iis6.0 無日志記錄!
3 檢查修復 ( 備份當前web系統。)
A 時間查找法:根據上述文件的最早創建時間,搜索此時間以後創建和修改的所有文件。又發現許多未知gif,jpg,asp,cer等格式文件。用記事本打開發現,俱為asp木馬。備份,刪除。
B 工具查找法:在手動查找之後,安裝殺毒軟件,全面殺毒,除殺出少部分asp木馬,未有其他發現。檢查用戶,無異常。檢查C盤,無不明文件。說明,入侵者在獲得web權限後未進一步提升權限,但不排除安裝更隱蔽的木馬。待查。
C 根據時間查找法,發現正常asp文件有些已被修改。其中,動力文章系統管理頁面被插入代碼,將管理員密碼明文保存。代碼與動網論壇明文獲取密碼代碼類似。
在其他被修改的asp文件中,發現有動鲨網頁木馬,icefox的一句話木馬,海洋木馬等,均加密處理。
D 修復;備份此web系統,提取數據庫。刪除!還原數月前備份之系統,檢查,無木馬!導入現在的數據庫。刪除動力文章上傳軟件的asp文件,加入防注入代碼。修改所有web管理員密碼,修改所有系統管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼並限制ip。打開iis6.0日志記錄。由於掛接的網站,長期未更新,web管理員無法聯絡,更改路徑,去除連接,備用!
分析: 由於主機權限設置問題,入侵者可能無法提升權限。(可能已經獲得pcanywhere 密碼,但主機長期保持鎖定狀態。據估計是入侵者技術尚淺。)由他所留文件分析。在獲得webshell的情況下,他上傳cmd文件,但權限設置較好,估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件,想開服務器3389端口。但還是由於權限問題,無法提升。Ps:一台主機如果安裝pcanywhere ,將無法開啟3389服務,其主要文件被pcanywhere替換。開啟不了。其他文件為察看進程,安裝服務等工具,估計在未獲得更高權限的情況下,得到的信息不足以獲取管理員權限。唯一注意的是,pcanywhere的密碼文件,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見,其中有pcanywhere的密碼文件*.cif ,網上有密碼察看器,但11.0版本無法察看。呵呵,升級一下吧。