模擬入侵者檢測(cè)網(wǎng)絡(luò)攻擊

2022-9-26 10:56| 查看: 2130 |來源: 互聯(lián)網(wǎng)

隨著信息技術(shù)的發(fā)展，越來越多的人都喜歡用計(jì)算機(jī)辦公，發(fā)郵件，建設(shè)自己的個(gè)人站點(diǎn)，公司建立自己的企業(yè)站點(diǎn)，政府也逐漸的采取了網(wǎng)上辦公，更好的為人民服務(wù)，銀行和證券機(jī)構(gòu)也都開始依托互聯(lián)網(wǎng)來進(jìn)行金融和股票交

隨著信息技術(shù)的發(fā)展，越來越多的人都喜歡用計(jì)算機(jī)辦公，發(fā)郵件，建設(shè)自己的個(gè)人站點(diǎn)，公司建立自己的企業(yè)站點(diǎn)，政府也逐漸的采取了網(wǎng)上辦公，更好的為人民服務(wù)，銀行和證券機(jī)構(gòu)也都開始依托互聯(lián)網(wǎng)來進(jìn)行金融和股票交易，但是隨著方便的同時(shí)也同時(shí)帶來了新的一些計(jì)算機(jī)網(wǎng)絡(luò)安全隱患，隨著司法機(jī)關(guān)的介入，我相信在不久的將來，網(wǎng)絡(luò)攻擊調(diào)查取證也會(huì)成為立法機(jī)構(gòu)必須要考慮設(shè)立的一門新的學(xué)科，目前來說開設(shè)這個(gè)的課程多在網(wǎng)絡(luò)警察和一些特殊機(jī)關(guān)，現(xiàn)在我來給大家講下我親身經(jīng)歷并參與完成的一次取證過程，用事實(shí)來講述；

我一直從事病毒分析，網(wǎng)絡(luò)攻擊響應(yīng)相關(guān)的工作，這次應(yīng)好朋友的邀請(qǐng)，幫忙配合去協(xié)查幾臺(tái)服務(wù)器，我們來到了某XXX駐地，首先進(jìn)行例行檢查。經(jīng)過了1天左右的時(shí)間的檢查，其中用到了一些專用設(shè)備也包含自主編寫的工具以及第三方提供的勘察取證軟件，共發(fā)現(xiàn)問題主機(jī)服務(wù)器10臺(tái)，其中2臺(tái)比較嚴(yán)重，（以下用A服務(wù)器和B服務(wù)器來代替）和朋友商定后，決定帶回我們的實(shí)驗(yàn)室，進(jìn)行專項(xiàng)深入分析。

習(xí)慣的檢查步驟操作：

服務(wù)器操作系統(tǒng)版本信息——>操作系統(tǒng)補(bǔ)丁安裝情況——>操作系統(tǒng)安裝時(shí)間，中間有沒有經(jīng)過進(jìn)行重新安裝——>服務(wù)器維護(hù)情況——>服務(wù)器上面安裝的軟件版本信息

日志檢查——IDS日志信息/IIS日志信息/系統(tǒng)日志信息
網(wǎng)站代碼審查——是否存在一句話木馬，源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本，配置的是否合理，配套的監(jiān)視是否全部打開
數(shù)據(jù)恢復(fù)——>利用專用數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù)，恢復(fù)一些被刪除的日志信息和系統(tǒng)信息，曾經(jīng)安裝過的文件操作信息。
提取可疑文件（病毒、木馬、后門、惡意廣告插件）——在系統(tǒng)文件目錄利用第三方或者自開發(fā)軟件，對(duì)可疑文件進(jìn)行提取并進(jìn)行深度分析。

上述步驟是我個(gè)人總結(jié)的，有不妥的地方還請(qǐng)朋友們指正，介紹完理論，我們來實(shí)踐處理下這兩臺(tái)服務(wù)器。

A服務(wù)器檢查處理過程

該A服務(wù)器所裝的操作系統(tǒng)是Advanced 2000 server，服務(wù)器上安裝的有瑞星2008殺毒軟件，病毒庫(kù)已經(jīng)更新到最新版本。但是并沒有安裝網(wǎng)絡(luò)防火墻和其他系統(tǒng)監(jiān)視軟件，安裝的ftp服務(wù)器版本為server-u 6.0（存在溢出攻擊的威脅）

一對(duì)原始數(shù)據(jù)進(jìn)行恢復(fù)

利用Datarecover軟件來恢復(fù)一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。進(jìn)行深度分析，把曾經(jīng)做過的格式化，以及在回收站中刪除過的文件恢復(fù)過來，但是遺憾的是成功拿下這臺(tái)服務(wù)器權(quán)限的黑客已經(jīng)做了專業(yè)處理，把他的一些痕跡進(jìn)行了全面清理，個(gè)人認(rèn)為他使用了日本地下黑客組織開發(fā)的專項(xiàng)日志清除工具，經(jīng)過我和助手的共同努力還是把系統(tǒng)日志恢復(fù)到當(dāng)年5月份。

二手工分析可疑文件

在本服務(wù)器的c盤根目錄下面有一個(gè)sethc..exe 文件。這個(gè)文件是微軟自帶的，是系統(tǒng)粘制鍵，真實(shí)的大小應(yīng)為27kb，而這個(gè)文件為270kb，起初我以為是由于打補(bǔ)丁的原因。但是經(jīng)過翻閱一些資料和做比對(duì)之后，才知道這樣的文件是一個(gè)新開發(fā)的流行后門，主要用法：通過3389終端，然后通過5次敲擊shift鍵，直接調(diào)用sethc.exe而直接取得系統(tǒng)權(quán)限。隨后達(dá)到控制整個(gè)服務(wù)器，通常他還是通過刪除正常的一些c盤exe文件。然后把自己偽造成那個(gè)所刪除的exe文件名。造成一種假象。

這里我們提供解決方法如下：個(gè)人建議這個(gè)功能實(shí)用性并不高，建議直接刪除這個(gè)文件，如果有人利用這個(gè)手法來對(duì)你的服務(wù)器進(jìn)行入侵，那就肯定是有人做了手腳，可以第一時(shí)間發(fā)現(xiàn)黑客入侵行為，也可以作為取證分析的一個(gè)思路；在控制面板的輔助功能里面設(shè)置取消粘制鍵。

三、利用專用防火墻檢查工具去查看網(wǎng)絡(luò)連接情況

目的是通過抓數(shù)據(jù)包來找出問題。如果對(duì)方安裝的有遠(yuǎn)程控制終端，他肯定需要讓保存在服務(wù)器上的后門和控制終端進(jìn)行通話，會(huì)有一個(gè)會(huì)話連接。通過防火墻的攔截功能而去尋找出控制的源頭。這個(gè)上面沒有發(fā)現(xiàn)存在反彈木馬，所以沒有看到入侵的源頭。

四、檢查系統(tǒng)日志

作用：檢查系統(tǒng)日志是否被入侵者清除，如果日志被入侵者刪除，需要用數(shù)據(jù)恢復(fù)軟件恢復(fù)操作系統(tǒng)日志
檢查內(nèi)容：主要包括IIS日志，安全性日志，系統(tǒng)日志。

更近一步深入檢查：

找到日志后，仔細(xì)分析網(wǎng)站是否有入侵者留下的webshell,尤其是一句話后門
根據(jù)Webshell的名字，在IIS 訪問日志里搜索相關(guān)的名字，找到入侵者常用的ip地址，分析ip地址
還可以根據(jù)此IP地址檢索IIS日志中，此入侵者都進(jìn)行過什么樣的操作
技術(shù)點(diǎn)滴：如果你比較熟悉Webshell，通過Get操作可以知道入侵者都進(jìn)行過何種操作。因?yàn)镚et操作是被系統(tǒng)記錄的。

如果入侵者裝有系統(tǒng)級(jí)的后門，用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件，用其他調(diào)試工具分析找到入侵者控制端IP地址。

通過服務(wù)器日志查出隱藏在后面的幕后黑客

通過iis的log訪問日志，排查出三個(gè)可疑目標(biāo)，其中一個(gè)手法相對(duì)于后兩個(gè)入侵者更熟練一些，他在今年5月份左右或者更早就拿到了該服務(wù)器權(quán)限，上來之后到是沒有做任何的添加和修改，從技術(shù)上來看，他是通過尋找網(wǎng)站的注入點(diǎn)進(jìn)來的，然后在上面放了不少的后門，還放了一個(gè)mm.exe的文件，但是因?yàn)榧夹g(shù)問題，沒有把這個(gè)馬運(yùn)行起來，從外部訪問只是在主頁(yè)上顯示為mm.jpeg，偽裝成了圖片。但是打開以后，什么都沒有。經(jīng)過我們分析以后，它是一張裸女的jpeg文件。如果他這個(gè)mm.exe成功，完全有可能將該主站頁(yè)面換成一張黃色圖片。危害還是有的。另外該站點(diǎn)權(quán)限給的過高，在訪問新聞?lì)l道的時(shí)候，直接就是sa權(quán)限。這個(gè)是最高系統(tǒng)級(jí)和Admin是一個(gè)級(jí)別的。

由于服務(wù)器被網(wǎng)管人員重新裝過，初步懷疑是用的ghost安裝的，造成了原珍貴日志數(shù)據(jù)無法找回，我們只能分析出7月份-12月份這段時(shí)間的日志，通過這些日志我們又發(fā)現(xiàn)了針對(duì)此站點(diǎn)的入侵記錄。

入侵者操作再現(xiàn)：（黑客入侵操作過程分析）

2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址為：http://www.dianqiji.com/pic/2007/0428/admin.exe

2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell里留的QQ:183037，之后此人頻繁用此后門登陸服務(wù)器

2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數(shù)據(jù)庫(kù)的webshell /system/unit/main.asp 此后門可以瀏覽到敏感數(shù)據(jù)庫(kù)的信息
2007-08-25 08:12:45 218.28.24.118 寫入另一個(gè)webshell D:\ybcenter\ggsm.asp
之后，218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務(wù)器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫(kù)的后門/service/asp.asp訪問敏感數(shù)據(jù)庫(kù)的信息
2007-08-25 08:27:57 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫(kù)的后門/system/unit/sql.asp訪問敏感數(shù)據(jù)庫(kù)的信息
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經(jīng)留下的操作數(shù)據(jù)庫(kù)的后門/yb/in_main3.asp訪問敏感數(shù)據(jù)庫(kù)

2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe為http://ray8701.3322.org/1.exe

2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務(wù)器
2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-12-10 12:41:34 123.52.18.141 檢測(cè)注入

五、查看登陸信息查看是否存在有克隆帳戶。

方法：檢查注冊(cè)表里面的sam文件有沒有相同的fv，在這里檢查過程中沒有發(fā)現(xiàn)存在有克隆帳號(hào)。

六、查看系統(tǒng)安裝日志，在這里并未發(fā)現(xiàn)問題。

七、查看IIS訪問日志，在這里發(fā)現(xiàn)了攻擊者信息。

2007-12-01 08:55:16 220.175.79.231 檢測(cè)注入
2007-12-03 18:40:48 218.28.68.126 檢測(cè)注入
2007-12-04 01:31:32 218.28.192.90 檢測(cè)注入，掃描web目錄
2007-12-04 23:23:33 221.5.55.76 檢測(cè)注入
2007-12-05 09:20:57 222.182.140.71 檢測(cè)注入
2007-12-08 09:39:53 218.28.220.154 檢測(cè)注入
2007-12-08 21:31:44 123.5.197.40 檢測(cè)注入
2007-12-09 05:32:14 218.28.246.10 檢測(cè)注入
2007-12-09 08:47:43 218.28.192.90 檢測(cè)注入
2007-12-09 16:50:39 61.178.89.229 檢測(cè)注入
2007-12-10 05:50:24 58.54.98.40 檢測(cè)注入

定位可疑IP地址，追蹤來源查出IP地址的信息。

八、查看網(wǎng)站首頁(yè)的源代碼，在iframe 這個(gè)位置查看是否有不屬于該網(wǎng)站的網(wǎng)站信息。（查找網(wǎng)馬的方法），以及如何發(fā)現(xiàn)一些潛在的木馬和網(wǎng)絡(luò)可利用漏洞。

下面是我們得到的一些他的網(wǎng)馬。

gg3.asp Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp

system/unit/conn.asp 加入防注入
Q:6242889678

images/mm.jpg = exe自解壓主頁(yè)包含文件

一句話木馬：

備份一句話木馬

注射檢查，在IIS里面查找是否存在的有針對(duì) and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用：躲避驗(yàn)證信息主要用在后臺(tái)登陸上

\ 爆數(shù)據(jù)庫(kù)，作用直接下載服務(wù)器上的數(shù)據(jù)庫(kù)，獲得用戶名和密碼，經(jīng)過系統(tǒng)提權(quán)而拿到整個(gè)服務(wù)器權(quán)限。
針對(duì)一些下載者這樣的木馬，主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個(gè)文件夾中查看剛生成的exe文件，重點(diǎn)查看一下在system32文件夾下面的exe文件，尤其關(guān)注最新生成的exe文件，偽造的系統(tǒng)文件等。

以上就是針對(duì)A服務(wù)器的整個(gè)檢查過程以及發(fā)現(xiàn)問題后該如何處理和補(bǔ)救的相關(guān)解決方法。

B服務(wù)器檢查取證分析

B服務(wù)器裝的是windows2000　server版本，操作步驟同上。

經(jīng)過一段細(xì)心的檢查還是讓我和助手們發(fā)現(xiàn)了一個(gè)木馬，起因是在網(wǎng)站源代碼處發(fā)現(xiàn)都被插入了一些奇怪的代碼，在system32系統(tǒng)文件夾下還發(fā)現(xiàn)了新的niu.exe,非�？梢桑崛≡揺xe文件，在虛擬機(jī)中進(jìn)行分析，得出該exe工作原理：

該exe屬木馬類，病毒運(yùn)行后判斷當(dāng)前運(yùn)行文件的文件路徑如果不是%System32%\SVCH0ST.EXE，將打開當(dāng)前文件的所在目錄復(fù)制自身到%System32%下，更名為SVSH0ST.EXE，并衍生autorun.inf文件；復(fù)制自身到所有驅(qū)動(dòng)器根目錄下，更名為niu.exe，并衍生autorun.inf文件，實(shí)現(xiàn)雙擊打開驅(qū)動(dòng)器時(shí)，自動(dòng)運(yùn)行病毒文件；遍歷所有驅(qū)動(dòng)器，在htm、asp、aspx、php、html、jsp格式文件的尾部插入96個(gè)字節(jié)的病毒代碼；遍歷磁盤刪除以GHO為擴(kuò)展名的文件，使用戶無法進(jìn)行系統(tǒng)還原；連接網(wǎng)絡(luò)下載病毒文件；修改系統(tǒng)時(shí)間為2000年；病毒運(yùn)行后刪除自身。

本文最后更新于 2022-9-26 10:56，某些文章具有時(shí)效性，若有錯(cuò)誤或已失效，請(qǐng)?jiān)诰W(wǎng)站留言或聯(lián)系站長(zhǎng)：[email protected]

·END·

站長(zhǎng)網(wǎng)微信號(hào)：w17tui，關(guān)注站長(zhǎng)、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營(yíng)銷服務(wù)中心

免責(zé)聲明：本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集，旨在傳播知識(shí)，文章和圖片版權(quán)歸原作者及原出處所有，僅供學(xué)習(xí)與參考，請(qǐng)勿用于商業(yè)用途，如果損害了您的權(quán)利，請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝！

下一篇：利用windows腳本入侵WINDOWS服務(wù)器 上一篇：談VBS在Hacking中的作用———SQL Inject中的應(yīng)用

17站長(zhǎng)網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域，為您提供最新最全的互聯(lián)網(wǎng)資訊，幫助站長(zhǎng)轉(zhuǎn)型升級(jí)，為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷服務(wù)，與站長(zhǎng)一起進(jìn)步！讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)！

掃一掃，關(guān)注站長(zhǎng)網(wǎng)微信

青草久久影院-青草久久伊人-青草久久久-青草久久精品亚洲综合专区-SM双性精跪趴灌憋尿调教H-SM脚奴调教丨踩踏贱奴

模擬入侵者檢測(cè)網(wǎng)絡(luò)攻擊

大家都在看

相關(guān)分類

熱門排行

最近更新