搜索:
首页 >> 网站安全 >> windows2003服务器被ARP挂马事件的安全分析

windows2003服务器被ARP挂马事件的安全分析

2010-5-3 作者:无情键 asp之家 投递文章

12日晚上上线,看到红色联盟某会员在找我(为了安全起见,该会员我们下面称呼其为“站长X”)。说其网站被r了,让我去帮忙查查并恢复。

我访问了一下他的网站,果然返回的是没有权限访问的错误提示。

“站长X”说他在11日发现网站被挂马后,已经进行了批量删除木马代码的操作。但是接着做了加强权限设置以后网站就整个挂了。

于是在“站长X”的授权下,我远程连接到服务器上,开始了分析工作(唉,已经很晚了耶,要抓紧时间)。

一、检查系统帐户

这是一台windows server2003的服务器,IIS上建了两个网站。存放在 C:\www 文件夹下的web1和web2文件夹中。(出于安全考虑,文中所有具体信息比如路径、文件名、帐号、口令、IP、MAC等敏感信息有可能在不影响读者理解的前提下做稍许保护性改动)

对于这样一个个人网站来说,恢复其访问倒并不十分紧迫,相对而言,我们更需要先找到入侵者的痕迹。

用net user命令查看帐户信息,没有发现异常。administrators组没有被加入新的帐号。guest帐号没有异常。其他系统帐户也都正常。

可以判定入侵者并没有得到系统管理员权限。

防:第一步需要判断入侵者是否得到最高权限,一个得到系统管理员权限的高手,很可能把自己的踪迹清除的干干净净。而把不请自来者驱逐出境,也应是被入侵后第一紧迫的事情。

攻:想要做到挥一挥衣袖不带走一片云彩的境界,搞到admin是必须的,当然这可没说起来那么容易。

二、寻找突破口

既然入侵者没有得到最高权限,那么应该会留下不少痕迹,首先对网站所在文件夹进行查找文件的操作,修改时间定为2009-7-1至2009-7-12日之间。查找到了三个可疑文件。经过查看源码,发现是三个webshell。

分别是 aaa.asp bbb.asp ccc.asp

经过询问“站长X”,得知其中 bbb.asp 和 ccc.asp是他用来清除批量挂马时自己上传用的webshell。而aaa.asp则属于不明来历的文件。

这里可以确定这个aaa.asp是来自于入侵者。

防:一般来说,很多人上传webshell时都不会注意到自己上传文件的修改时间。利用这点,管理员可以很容易找到被变动过的文件。

攻:先在本地修改掉文件的时间信息,再进行上传,会给管理员搜寻木马时造成很大麻烦。

三、定位入侵者

找到了入侵者上传的webshell,就可以有的放矢的进行分析了。进入C:\WINDOWS\system32\LogFiles。这里是IIS的日志存放处。由于入侵者没有权限删除这里的日志,我们可以直接搜索所有文件,查找内容含有 “aaa.asp”的日志记录。

结果查到了一个日志文件:ex090711.log

里面的记录为:
2009-07-11 10:08:10 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5

可以看出,在7月11日10点08分10秒的时候,一个操作系统为XP的用户使用IE6.0为内核的浏览器对服务器提交了一个GET操作。也就是访问这个asp木马了。这个用户的IP为:122.224.222.69。我们无从得知对方是否用了代理或者跳板。只知道这个访问IP的ISP是于浙江省杭州市电信,姑且认为是ADSL拨号获取的动态IP吧。

防:IIS日志记录了所有用户的GET操作和参数,以及POST操作的页面日志,可以从这里寻找到入侵者的蛛丝马迹,当然前提是日志还在那儿 :)至于IP地址的归属地,网上到处都是。

攻:有权限的话要清理日志,当然需要先停掉iis服务才可以清理,这就需要你有足够的权限。

1   2  3 下一页 尾 页
相关文章
手机版 网站安全 Asp之家 Aspxhome.com
闽ICP备06017341号