windows2003服务器被ARP挂马事件的安全分析

12日晚上上线，看到红色联盟某会员在找我（为了安全起见，该会员我们下面称呼其为“站长X”）。说其网站被r了，让我去帮忙查查并恢复。

我访问了一下他的网站，果然返回的是没有权限访问的错误提示。

“站长X”说他在11日发现网站被挂马后，已经进行了批量删除木马代码的操作。但是接着做了加强权限设置以后网站就整个挂了。

于是在“站长X”的授权下，我远程连接到服务器上，开始了分析工作（唉，已经很晚了耶，要抓紧时间）。

一、检查系统帐户

这是一台windows server2003的服务器，IIS上建了两个网站。存放在 C:\www 文件夹下的web1和web2文件夹中。（出于安全考虑，文中所有具体信息比如路径、文件名、帐号、口令、IP、MAC等敏感信息有可能在不影响读者理解的前提下做稍许保护性改动）

对于这样一个个人网站来说，恢复其访问倒并不十分紧迫，相对而言，我们更需要先找到入侵者的痕迹。

用net user命令查看帐户信息，没有发现异常。administrators组没有被加入新的帐号。guest帐号没有异常。其他系统帐户也都正常。

可以判定入侵者并没有得到系统管理员权限。

防：第一步需要判断入侵者是否得到最高权限，一个得到系统管理员权限的高手，很可能把自己的踪迹清除的干干净净。而把不请自来者驱逐出境，也应是被入侵后第一紧迫的事情。

攻：想要做到挥一挥衣袖不带走一片云彩的境界，搞到admin是必须的，当然这可没说起来那么容易。

二、寻找突破口

既然入侵者没有得到最高权限，那么应该会留下不少痕迹，首先对网站所在文件夹进行查找文件的操作，修改时间定为2009-7-1至2009-7-12日之间。查找到了三个可疑文件。经过查看源码，发现是三个webshell。

分别是 aaa.asp bbb.asp ccc.asp

经过询问“站长X”，得知其中 bbb.asp 和 ccc.asp是他用来清除批量挂马时自己上传用的webshell。而aaa.asp则属于不明来历的文件。

这里可以确定这个aaa.asp是来自于入侵者。

防：一般来说，很多人上传webshell时都不会注意到自己上传文件的修改时间。利用这点，管理员可以很容易找到被变动过的文件。

攻：先在本地修改掉文件的时间信息，再进行上传，会给管理员搜寻木马时造成很 * 烦。

三、定位入侵者

找到了入侵者上传的webshell，就可以有的放矢的进行分析了。进入C:\WINDOWS\system32\LogFiles。这里是IIS的日志存放处。由于入侵者没有权限删除这里的日志，我们可以直接搜索所有文件，查找内容含有 “aaa.asp”的日志记录。

结果查到了一个日志文件：ex090711.log

里面的记录为：
2009-07-11 10:08:10 W3SVC1972102721 59.175.179.181 GET /common/aaa.asp - 80 - 122.224.222.69 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 401 5 5

可以看出，在7月11日10点08分10秒的时候，一个操作系统为XP的用户使用IE6.0为内核的浏览器对服务器提交了一个GET操作。也就是访问这个asp木马了。这个用户的IP为：122.224.222.69。我们无从得知对方是否用了代理或者跳板。只知道这个访问IP的ISP是于浙江省杭州市电信，姑且认为是ADSL拨号获取的动态IP吧。

防：IIS日志记录了所有用户的GET操作和参数，以及POST操作的页面日志，可以从这里寻找到入侵者的蛛丝马迹，当然前提是日志还在那儿 ：）至于IP地址的归属地，网上到处都是。

攻：有权限的话要清理日志，当然需要先停掉iis服务才可以清理，这就需要你有足够的权限。