廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3074 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
jenhaoliu 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x3 鮮花 x272
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 實例講解網站被入侵後需做的檢測
先分析入侵者都做了些什麼!

  記得為了方便在他機器上裝了RADMIN,登錄了一下,密碼也不對了,看來是有人上去了,而且入侵者還拿到了系統管理員許可權。

  跑到機房,拿出ERD COMMANDER,改了密碼,重啟,進入系統後第一步升級帳戶,多了一個hud$的用戶,administrators組,刪除,再看guest用戶雖然禁用狀態,但是說明內容不對了。仔細一看,administrators組,同樣刪除。接著看了下其他用戶,組別都正常,把遠端連接許可權都去掉後,帳號方面算是處理完了。

  接著看看各個硬碟C:\下面有如下文件

  sqlhello.exe

  sqlhello2.exe

  result.txt

  1.bat

  2.bat

  編輯了下1.bat,裏面內容都是掃描整個網段。看來是有人拿這台機器當跳板了,移動所有檔到其他目錄。

  接著審計應用程式,考慮這台機器的用途和環境。

  是WINDOWS2000+IIS+SERV-U

  先看SERV-U審計用戶,看看有沒有別人加system許可權的FTP用戶,查看下來沒有。

  執行許可權也沒有,鎖定目錄狀態都是對的。

  看了下沒有記錄日誌。

  然後看了版本。

  5.0.0.4...ft了,早讓他升級,就是不升,看來是被入侵的第一步,先升級到6.0.0.2

  FTP這裏應該沒什麼問題了。

IIS方面的分析:

  開著日誌記錄,太好了,等會兒分析日誌

  繼續看,其他都是默認配置,先在應用程式映射裏把所有的檔類型都刪除乾淨只保留.ASP和.ASA

  審計文件許可權

  設定各個分區和目錄的許可權。

  接著審查木馬情況,由於系統不能重裝,所以只能加固原有已經被入侵的系統,考慮到這個入侵者添加的用戶的情況以及在C根目錄放檔還有日誌都是開放等等情況,估計水準不會很高,也不會植入自己編寫的木馬。

  使用了朋友thrkdev編的ATE來查了一遍,看來沒有已知木馬。

  接著查找WEBSHELL,考慮到入侵者水準,最多也就用用海陽,而且最多也就把部分版權資訊去掉,搜索所有內容包含lcx的.ASP文件。

  果然,4個文件。

    2005.asp

    ok.asp

    dvbbs7.asp

    aki.asp

  看來分析還是比較準確的,除了dvbbs7.asp有點創意,移動這些檔到其他目錄,供以後審計用。

  然後是網路部分

  TCP過濾未開,IPSEC未指派。

  先把NETBIOS關掉,然後TCP內只允許20,21,80,3389

  考慮到反向木馬的可能性

  在IPSEC內打開本機SPORT 20,21,80,3389到外部任意埠,其他從內部往外的一律遮罩。

系統萃取,把一些無關服務與軟體關閉或者卸載。

  對系統進行補丁升級,還好補丁還是沒有缺,把自動UPDATE設置到自動安裝。

  最後一步是分析日誌,看看有沒有遺漏的地方,系統本身的日誌都被關閉了。看來入侵者還是比較小心。

  打開該審計的部分,在關鍵目錄,比如系統目錄加上了審計,使得所有對C:\WINNT的創建檔的成功與失敗都記錄在日誌內。

  由於前面提到SERV-U日誌原來並未記錄,只能打開IIS日誌查找對於找到的4個WEBSHELL的訪問情況,找到了訪問的IP,回查,來自一個固定IP位址,流覽了一下,得到資訊後給對方管理員去郵件通知他們做好安全工作。

  其實還有一些部分內容應該做而限於有些條件沒有做的。

  1.更換系統默認用戶用戶名

  因為兄弟他們對電腦不熟,就沒有更換,不過要求他們使用更加強壯的密碼了

  2.對於加密的webshell的查找

  上述內容中對於WEBSHELL只查找了一種,並且只針對明文編碼的頁面程式進行了查找,應該是可以加入對於編碼後ASP WEBSHELL的搜索。

  還有搜索內容應該由簡單的LCX擴展到wscript.shell等更加廣泛與匹配的關鍵字的查找

  3.對於木馬的查找

  由於預估入侵者水準不高,所以這項只依靠殺木馬軟體進行了搜索,如果有時間的話,還是應該手工進行查找

  4.對頁面程式進行評估

  也有由於時間關係,沒時間對原有網站程式進行檢查。

  5.入侵測試

  由於入侵檢測很可能被入侵者的思路帶著走而忽略了其他薄弱環節。

  所以檢測完畢應該最好進行完全的測試,保證其他路徑是同樣強壯的。





What sunshine is to flowers, smiles are to humanity.
微笑之於人類,猶如陽光之於花卉。
獻花 x0 回到頂端 [樓 主] From:台灣 | Posted:2005-10-24 02:20 |
adelin 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
社區建設獎 優秀管理員勳章
頭銜:歡迎至軟體討論區參予討論  ..歡迎至軟體討論區參予討論 ..
版主
級別: 版主 該用戶目前不上站
版區: 軟體推薦, 軟體討論, 程式設計, 電腦教學資源
推文 x15 鮮花 x241
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

http://tech.ccidnet.com/art/10...31727_1.html
轉帖來的文章也不打出處....


[ 此文章被adelin在2005-10-24 15:09重新編輯 ]


搶救受性侵孩子 缺我不行

◎軟體各類問題提問討論歡迎至 數位男女-軟體討論區參與加入討論
軟體討論區各版注意事項已於2006/11/17更新,請撥空閱讀
◎如對版規有其他問題或建議歡迎於問題舉報和意見專用帖提出討論,謝謝..
◎本論壇的運作需要您的支持:現在加入榮譽會員
獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2005-10-24 15:02 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.019540 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言