windows2003服务器被ARP挂马事件的安全分析
作者:无情键 发布时间:2010-05-03 13:27:00
12日晚上上线,看到红色联盟某会员在找我(为了安全起见,该会员我们下面称呼其为“站长X”)。说其网站被r了,让我去帮忙查查并恢复。
我访问了一下他的网站,果然返回的是没有权限访问的错误提示。
“站长X”说他在11日发现网站被挂马后,已经进行了批量删除木马代码的操作。但是接着做了加强权限设置以后网站就整个挂了。
于是在“站长X”的授权下,我远程连接到服务器上,开始了分析工作(唉,已经很晚了耶,要抓紧时间)。
一、检查系统帐户
这是一台windows server2003的服务器,IIS上建了两个网站。存放在 C:\www 文件夹下的web1和web2文件夹中。(出于安全考虑,文中所有具体信息比如路径、文件名、帐号、口令、IP、MAC等敏感信息有可能在不影响读者理解的前提下做稍许保护性改动)
对于这样一个个人网站来说,恢复其访问倒并不十分紧迫,相对而言,我们更需要先找到入侵者的痕迹。
用net user命令查看帐户信息,没有发现异常。administrators组没有被加入新的帐号。guest帐号没有异常。其他系统帐户也都正常。
可以判定入侵者并没有得到系统管理员权限。
防:第一步需要判断入侵者是否得到最高权限,一个得到系统管理员权限的高手,很可能把自己的踪迹清除的干干净净。而把不请自来者驱逐出境,也应是被入侵后第一紧迫的事情。
攻:想要做到挥一挥衣袖不带走一片云彩的境界,搞到admin是必须的,当然这可没说起来那么容易。
二、寻找突破口
既然入侵者没有得到最高权限,那么应该会留下不少痕迹,首先对网站所在文件夹进行查找文件的操作,修改时间定为2009-7-1至2009-7-12日之间。查找到了三个可疑文件。经过查看源码,发现是三个webshell。
分别是 aaa.asp bbb.asp ccc.asp
经过询问“站长X”,得知其中 bbb.asp 和 ccc.asp是他用来清除批量挂马时自己上传用的webshell。而aaa.asp则属于不明来历的文件。
这里可以确定这个aaa.asp是来自于入侵者。
防:一般来说,很多人上传webshell时都不会注意到自己上传文件的修改时间。利用这点,管理员可以很容易找到被变动过的文件。
攻:先在本地修改掉文件的时间信息,再进行上传,会给管理员搜寻木马时造成很 * 烦。
三、定位入侵者
找到了入侵者上传的webshell,就可以有的放矢的进行分析了。进入C:\WINDOWS\system32\LogFiles。这里是IIS的日志存放处。由于入侵者没有权限删除这里的日志,我们可以直接搜索所有文件,查找内容含有 “aaa.asp”的日志记录。
结果查到了一个日志文件:ex090711.log
里面的记录为:
2009-07-11 10:08:10 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5
可以看出,在7月11日10点08分10秒的时候,一个操作系统为XP的用户使用IE6.0为内核的浏览器对服务器提交了一个GET操作。也就是访问这个asp木马了。这个用户的IP为:122.224.222.69。我们无从得知对方是否用了代理或者跳板。只知道这个访问IP的ISP是于浙江省杭州市电信,姑且认为是ADSL拨号获取的动态IP吧。
防:IIS日志记录了所有用户的GET操作和参数,以及POST操作的页面日志,可以从这里寻找到入侵者的蛛丝马迹,当然前提是日志还在那儿 :)至于IP地址的归属地,网上到处都是。
攻:有权限的话要清理日志,当然需要先停掉iis服务才可以清理,这就需要你有足够的权限。
猜你喜欢
- 很多朋友在用IIS6架网站的时候遇到不少问题,而这些问题有些在过去的IIS5里面就遇到过,有些是新出来的,俺忙活了一下午,做了很多次试验,结
- server|window
- Exchange Server 2007 日志规则新日志向导日志报告中包括的内容您是否曾经不得不记录您与某位特定用户之间往来的电子邮件,而结
- 一、误导性或重复性关键词1、误导性关键词在页面中使用与该网页毫不相干的误导性关键词来吸引查询该主题的访问者访问网站。这种做法严重影响了搜索引
- 软件发行周期的终结正如在上面关于Google和netscape的讨论中所指出的,互联网时代定义特性之一就是,它是以服务方式传递,而不是产品。
- 对于研究SEO(搜索引擎优化)的朋友来说,都喜欢研究收集整理一些SEO工具。有些SEO工具是查询性质的,也有一些黑帽性质的,秦爱在这里给出的
- 从三个方面来讲关键字如何在网站的内部来做优化!第一:网站的titletitle中关键字所占的权重是相当主要的,写好一个合理的title对优化
- 能不能在命令行模式下修改文件夹的访问权限或者共享权限?我用的Windows 2000的操作系统,手工修改方法我知道,但是想用更简便的方法,请
- 结合工作经验,在这里笔者给企业网管员提供一些保障企业网络安全的建议,帮助他们用以抵御网络入侵、恶意软件和垃圾邮件。定义用户完成相关任务的恰当
- 电子商务如今风靡国内各个行业,不仅在沿海地区迅猛发展,湖南的电子商务也在高速发展中,逐步形成了一支电子商务湘军,为了帮助电子商务湘军更好的发
- Godaddy主机用户应该怎样核实Google站长工具里的域名呢?使用站长工具,你可以访问crawl statistics, recent
- 提供高质量的内容和服务创建让人眼前一亮且有价值的内容较之于这个指南里讨论的因素更容易影响你的网站。用户看到后知道你网站上提供的内容质量很不错
- 一、使用 mod_vhost_alias1、简单的动态虚拟主机# 从 Host: 头中取得服务器名字 Server NameUseCanon
- 9月6日消息,在搜索引擎营销大会北京站上,由中国站长联盟(http://www.cnzz.com )和浩维互动联合发布的报告显示,搜索引擎为
- 搜狗云输入法跨平台、免安装,对于Linux、Mac OS等操作系统的用户,或在网吧等临时使用环境,都能在上网冲浪时享受搜狗输入法的流畅输入体
- 3月19日消息,据国外媒体报道,有业内人士日前指出,在宽带连接几乎无处不在的今天,Google的搜索结果页面已经显得太单调。众所周知,Goo
- 编前:这是20ju.com的古心神对SEO专家Zac的访谈,主题是关于网络营销与SEO。为阅读方便,内容重新提取整理,黑体字为提问,后面是S
- 先前搞个钱币论坛,想着能不能在z-blog侧栏,显示Discuz论坛最新主题列表,吸引点人气呢?在设置Discuz论坛边栏时,发现有外部调用
- 互联网是当前非常热门的产业。网络营销已在同一时间成为一个高度熟练的和有竞争力的领域。作为一个具有超前意识的企业,会毫不犹豫的选择网络营销或搜
- 服务器安全设置1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。2、系统盘和站点放置盘除administrators 和syste