jenhaoliu
   
|
分享:
▼
x0
|
先分析入侵者都做了些什麼!
記得為了方便在他機器上裝了RADMIN,登錄了一下,密碼也不對了,看來是有人上去了,而且入侵者還拿到了系統管理員許可權。
跑到機房,拿出ERD COMMANDER,改了密碼,重啟,進入系統後第一步升級帳戶,多了一個hud$的用戶,administrators組,刪除,再看guest用戶雖然禁用狀態,但是說明內容不對了。仔細一看,administrators組,同樣刪除。接著看了下其他用戶,組別都正常,把遠端連接許可權都去掉後,帳號方面算是處理完了。
接著看看各個硬碟C:\下面有如下文件
sqlhello.exe
sqlhello2.exe
result.txt
1.bat
2.bat
編輯了下1.bat,裏面內容都是掃描整個網段。看來是有人拿這台機器當跳板了,移動所有檔到其他目錄。
接著審計應用程式,考慮這台機器的用途和環境。
是WINDOWS2000+IIS+SERV-U
先看SERV-U審計用戶,看看有沒有別人加system許可權的FTP用戶,查看下來沒有。
執行許可權也沒有,鎖定目錄狀態都是對的。
看了下沒有記錄日誌。
然後看了版本。
5.0.0.4...ft了,早讓他升級,就是不升,看來是被入侵的第一步,先升級到6.0.0.2
FTP這裏應該沒什麼問題了。
IIS方面的分析:
開著日誌記錄,太好了,等會兒分析日誌
繼續看,其他都是默認配置,先在應用程式映射裏把所有的檔類型都刪除乾淨只保留.ASP和.ASA
審計文件許可權
設定各個分區和目錄的許可權。
接著審查木馬情況,由於系統不能重裝,所以只能加固原有已經被入侵的系統,考慮到這個入侵者添加的用戶的情況以及在C根目錄放檔還有日誌都是開放等等情況,估計水準不會很高,也不會植入自己編寫的木馬。
使用了朋友thrkdev編的ATE來查了一遍,看來沒有已知木馬。
接著查找WEBSHELL,考慮到入侵者水準,最多也就用用海陽,而且最多也就把部分版權資訊去掉,搜索所有內容包含lcx的.ASP文件。
果然,4個文件。
2005.asp
ok.asp
dvbbs7.asp
aki.asp
看來分析還是比較準確的,除了dvbbs7.asp有點創意,移動這些檔到其他目錄,供以後審計用。
然後是網路部分
TCP過濾未開,IPSEC未指派。
先把NETBIOS關掉,然後TCP內只允許20,21,80,3389
考慮到反向木馬的可能性
在IPSEC內打開本機SPORT 20,21,80,3389到外部任意埠,其他從內部往外的一律遮罩。
系統萃取,把一些無關服務與軟體關閉或者卸載。
對系統進行補丁升級,還好補丁還是沒有缺,把自動UPDATE設置到自動安裝。
最後一步是分析日誌,看看有沒有遺漏的地方,系統本身的日誌都被關閉了。看來入侵者還是比較小心。
打開該審計的部分,在關鍵目錄,比如系統目錄加上了審計,使得所有對C:\WINNT的創建檔的成功與失敗都記錄在日誌內。
由於前面提到SERV-U日誌原來並未記錄,只能打開IIS日誌查找對於找到的4個WEBSHELL的訪問情況,找到了訪問的IP,回查,來自一個固定IP位址,流覽了一下,得到資訊後給對方管理員去郵件通知他們做好安全工作。
其實還有一些部分內容應該做而限於有些條件沒有做的。
1.更換系統默認用戶用戶名
因為兄弟他們對電腦不熟,就沒有更換,不過要求他們使用更加強壯的密碼了
2.對於加密的webshell的查找
上述內容中對於WEBSHELL只查找了一種,並且只針對明文編碼的頁面程式進行了查找,應該是可以加入對於編碼後ASP WEBSHELL的搜索。
還有搜索內容應該由簡單的LCX擴展到wscript.shell等更加廣泛與匹配的關鍵字的查找
3.對於木馬的查找
由於預估入侵者水準不高,所以這項只依靠殺木馬軟體進行了搜索,如果有時間的話,還是應該手工進行查找
4.對頁面程式進行評估
也有由於時間關係,沒時間對原有網站程式進行檢查。
5.入侵測試
由於入侵檢測很可能被入侵者的思路帶著走而忽略了其他薄弱環節。
所以檢測完畢應該最好進行完全的測試,保證其他路徑是同樣強壯的。
|
