| 隨著信息技術(shù)的發(fā)展,越來越多的人都喜歡用計算機辦公,發(fā)郵件,建設(shè)自己的個人站點,公司建立自己的企業(yè)站點,政府也逐漸的采取了網(wǎng)上辦公,更好的為人民服務(wù),銀行和證券機構(gòu)也都開始依托互聯(lián)網(wǎng)來進行金融和股票交易,但是隨著方便的同時也同時帶來了新的一些計算機網(wǎng)絡(luò)安全隱患,隨著司法機關(guān)的介入,我相信在不久的將來,網(wǎng)絡(luò)攻擊調(diào)查取證也會成為立法機構(gòu)必須要考慮設(shè)立的一門新的學(xué)科,目前來說開設(shè)這個的課程多在網(wǎng)絡(luò)警察和一些特殊機關(guān),現(xiàn)在我來給大家講下我親身經(jīng)歷并參與完成的一次取證過程,用事實來講述;
我一直從事病毒分析,網(wǎng)絡(luò)攻擊響應(yīng)相關(guān)的工作,這次應(yīng)好朋友的邀請,幫忙配合去協(xié)查幾臺服務(wù)器,我們來到了某XXX駐地,首先進行例行檢查。經(jīng)過了1天左右的時間的檢查,其中用到了一些專用設(shè)備也包含自主編寫的工具以及第三方提供的勘察取證軟件,共發(fā)現(xiàn)問題主機服務(wù)器10臺,其中2臺比較嚴(yán)重,(以下用A服務(wù)器和B服務(wù)器來代替)和朋友商定后,決定帶回我們的實驗室,進行專項深入分析。 習(xí)慣的檢查步驟操作: 服務(wù)器操作系統(tǒng)版本信息——>操作系統(tǒng)補丁安裝情況——>操作系統(tǒng)安裝時間,中間有沒有經(jīng)過進行重新安裝——>服務(wù)器維護情況——>服務(wù)器上面安裝的軟件版本信息 日志檢查——IDS日志信息/IIS日志信息/系統(tǒng)日志信息 網(wǎng)站代碼審查——是否存在一句話木馬,源代碼上是否存在惡意代碼插入 殺毒軟件版本更新情況——是否是最新版本,配置的是否合理,配套的監(jiān)視是否全部打開 數(shù)據(jù)恢復(fù)——>利用專用數(shù)據(jù)恢復(fù)軟件進行數(shù)據(jù)恢復(fù),恢復(fù)一些被刪除的日志信息和系統(tǒng)信息,曾經(jīng)安裝過的文件操作信息。 提取可疑文件(病毒、木馬、后門、惡意廣告插件)——在系統(tǒng)文件目錄利用第三方或者自開發(fā)軟件,對可疑文件進行提取并進行深度分析。 上述步驟是我個人總結(jié)的,有不妥的地方還請朋友們指正,介紹完理論,我們來實踐處理下這兩臺服務(wù)器。 A服務(wù)器檢查處理過程 該A服務(wù)器所裝的操作系統(tǒng)是Advanced 2000 server,服務(wù)器上安裝的有瑞星2008殺毒軟件,病毒庫已經(jīng)更新到最新版本。但是并沒有安裝網(wǎng)絡(luò)防火墻和其他系統(tǒng)監(jiān)視軟件,安裝的ftp服務(wù)器版本為server-u 6.0(存在溢出攻擊的威脅) 一 對原始數(shù)據(jù)進行恢復(fù) 利用Datarecover軟件來恢復(fù)一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。進行深度分析,把曾經(jīng)做過的格式化,以及在回收站中刪除過的文件恢復(fù)過來,但是遺憾的是成功拿下這臺服務(wù)器權(quán)限的黑客已經(jīng)做了專業(yè)處理,把他的一些痕跡進行了全面清理,個人認(rèn)為他使用了日本地下黑客組織開發(fā)的專項日志清除工具,經(jīng)過我和助手的共同努力還是把系統(tǒng)日志恢復(fù)到當(dāng)年5月份。 二 手工分析可疑文件 在本服務(wù)器的c盤根目錄下面有一個sethc..exe 文件。這個文件是微軟自帶的,是系統(tǒng)粘制鍵,真實的大小應(yīng)為27kb,而這個文件為270kb,起初我以為是由于打補丁的原因。但是經(jīng)過翻閱一些資料和做比對之后,才知道這樣的文件是一個新開發(fā)的流行后門,主要用法:通過3389終端,然后通過5次敲擊shift鍵,直接調(diào)用sethc.exe而直接取得系統(tǒng)權(quán)限。隨后達到控制整個服務(wù)器,通常他還是通過刪除正常的一些c盤exe文件。然后把自己偽造成那個所刪除的exe文件名。造成一種假象。 這里我們提供解決方法如下:個人建議這個功能實用性并不高,建議直接刪除這個文件,如果有人利用這個手法來對你的服務(wù)器進行入侵,那就肯定是有人做了手腳,可以第一時間發(fā)現(xiàn)黑客入侵行為,也可以作為取證分析的一個思路;在控制面板的輔助功能里面設(shè)置取消粘制鍵。 三、 利用專用防火墻檢查工具去查看網(wǎng)絡(luò)連接情況 目的是通過抓數(shù)據(jù)包來找出問題。如果對方安裝的有遠程控制終端,他肯定需要讓保存在服務(wù)器上的后門和控制終端進行通話,會有一個會話連接。通過防火墻的攔截功能而去尋找出控制的源頭。這個上面沒有發(fā)現(xiàn)存在反彈木馬,所以沒有看到入侵的源頭。 四、檢查系統(tǒng)日志 作用:檢查系統(tǒng)日志是否被入侵者清除,如果日志被入侵者刪除,需要用數(shù)據(jù)恢復(fù)軟件恢復(fù)操作系統(tǒng)日志 檢查內(nèi)容:主要包括IIS日志,安全性日志,系統(tǒng)日志。 更近一步深入檢查: 找到日志后,仔細分析網(wǎng)站是否有入侵者留下的webshell,尤其是一句話后門 根據(jù)Webshell的名字, 在IIS 訪問日志里搜索相關(guān)的名字,找到入侵者常用的ip地址,分析ip地址 還可以根據(jù)此IP地址檢索IIS日志中,此入侵者都進行過什么樣的操作 技術(shù)點滴:如果你比較熟悉Webshell,通過Get操作可以知道入侵者都進行過何種操作。因為Get操作是被系統(tǒng)記錄的。 如果入侵者裝有系統(tǒng)級的后門,用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件,用其他調(diào)試工具分析找到入侵者控制端IP地址。 通過服務(wù)器日志查出隱藏在后面的幕后黑客 通過iis的log訪問日志,排查出三個可疑目標(biāo),其中一個手法相對于后兩個入侵者更熟練一些,他在今年5月份左右或者更早就拿到了該服務(wù)器權(quán)限,上來之后到是沒有做任何的添加和修改,從技術(shù)上來看,他是通過尋找網(wǎng)站的注入點進來的,然后在上面放了不少的后門,還放了一個mm.exe的文件,但是因為技術(shù)問題,沒有把這個馬運行起來,從外部訪問只是在主頁上顯示為mm.jpeg,偽裝成了圖片。但是打開以后,什么都沒有。經(jīng)過我們分析以后,它是一張裸女的jpeg文件。如果他這個mm.exe成功,完全有可能將該主站頁面換成一張黃色圖片。危害還是有的。另外該站點權(quán)限給的過高,在訪問新聞頻道的時候,直接就是sa權(quán)限。這個是最高系統(tǒng)級和Admin是一個級別的。 由于服務(wù)器被網(wǎng)管人員重新裝過,初步懷疑是用的ghost安裝的,造成了原珍貴日志數(shù)據(jù)無法找回,我們只能分析出7月份-12月份這段時間的日志,通過這些日志我們又發(fā)現(xiàn)了針對此站點的入侵記錄。 入侵者操作再現(xiàn):(黑客入侵操作過程分析) 2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add 2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址為:http://www.dianqiji.com/pic/2007/0428/admin.exe 2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell里留的QQ:183037,之后此人頻繁用此后門登陸服務(wù)器 2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數(shù)據(jù)庫的webshell /system/unit/main.asp 此后門可以瀏覽到敏感數(shù)據(jù)庫的信息 2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:\ybcenter\ggsm.asp 之后,218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務(wù)器上文件 2007-11-11 14:23:23 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/service/asp.asp訪問敏感數(shù)據(jù)庫的信息 2007-08-25 08:27:57 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/system/unit/sql.asp訪問敏感數(shù)據(jù)庫的信息 2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/yb/in_main3.asp訪問敏感數(shù)據(jù)庫 2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe為http://ray8701.3322.org/1.exe 2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe 2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務(wù)器 2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe 2007-12-10 12:41:34 123.52.18.141 檢測注入 五、查看登陸信息 查看是否存在有克隆帳戶。 方法:檢查注冊表里面的sam文件有沒有相同的fv,在這里檢查過程中沒有發(fā)現(xiàn)存在有克隆帳號。 六、查看系統(tǒng)安裝日志,在這里并未發(fā)現(xiàn)問題。 七、 查看IIS訪問日志,在這里發(fā)現(xiàn)了攻擊者信息。 2007-12-01 08:55:16 220.175.79.231 檢測注入 2007-12-03 18:40:48 218.28.68.126 檢測注入 2007-12-04 01:31:32 218.28.192.90 檢測注入,掃描web目錄 2007-12-04 23:23:33 221.5.55.76 檢測注入 2007-12-05 09:20:57 222.182.140.71 檢測注入 2007-12-08 09:39:53 218.28.220.154 檢測注入 2007-12-08 21:31:44 123.5.197.40 檢測注入 2007-12-09 05:32:14 218.28.246.10 檢測注入 2007-12-09 08:47:43 218.28.192.90 檢測注入 2007-12-09 16:50:39 61.178.89.229 檢測注入 2007-12-10 05:50:24 58.54.98.40 檢測注入 定位可疑IP地址,追蹤來源 查出IP地址的信息。 八、查看網(wǎng)站首頁的源代碼,在iframe 這個位置查看是否有不屬于該網(wǎng)站的網(wǎng)站信息。(查找 網(wǎng)馬的方法),以及如何發(fā)現(xiàn)一些潛在的木馬和網(wǎng)絡(luò)可利用漏洞。 下面是我們得到的一些他的網(wǎng)馬。 gg3.asp Q:183637 log.asp pigpot.asp webdown.vbs attach/a.gif attach/chongtian.gif attach/111.rar system/unit/yjh.asp system/unit/conn.asp 加入防注入 Q:6242889678 images/mm.jpg = exe自解壓 主頁包含文件 一句話木馬: 備份一句話木馬 注射檢查,在IIS里面查找是否存在的有針對 and 1=1’sql 'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等 作用:躲避驗證信息 主要用在后臺登陸上 \ 爆數(shù)據(jù)庫,作用直接下載服務(wù)器上的數(shù)據(jù)庫,獲得用戶名和密碼,經(jīng)過系統(tǒng)提權(quán)而拿到整個服務(wù)器權(quán)限。 針對一些下載者這樣的木馬 ,主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件,重點查看一下在system32文件夾下面的exe文件,尤其關(guān)注最新生成的exe文件,偽造的系統(tǒng)文件等。 以上就是針對A服務(wù)器的整個檢查過程以及發(fā)現(xiàn)問題后該如何處理和補救的相關(guān)解決方法。 B服務(wù)器檢查取證分析 B服務(wù)器裝的是windows2000 server版本,操作步驟同上。 經(jīng)過一段細心的檢查還是讓我和助手們發(fā)現(xiàn)了一個木馬,起因是在網(wǎng)站源代碼處發(fā)現(xiàn)都被插入了一些奇怪的代碼,在system32系統(tǒng)文件夾下還發(fā)現(xiàn)了新的niu.exe,非常可疑,提取該exe文件,在虛擬機中進行分析,得出該exe工作原理: 該exe屬木馬類,病毒運行后判斷當(dāng)前運行文件的文件路徑如果不是%System32%\SVCH0ST.EXE,將打開當(dāng)前文件的所在目錄復(fù)制自身到%System32%下,更名為SVSH0ST.EXE,并衍生autorun.inf文件;復(fù)制自身到所有驅(qū)動器根目錄下,更名為niu.exe,并衍生autorun.inf文件,實現(xiàn)雙擊打開驅(qū)動器時,自動運行病毒文件;遍歷所有驅(qū)動器,在htm、asp、aspx、php、html、jsp格式文件的尾部插入96個字節(jié)的病毒代碼;遍歷磁盤刪除以GHO為擴展名的文件,使用戶無法進行系統(tǒng)還原;連接網(wǎng)絡(luò)下載病毒文件;修改系統(tǒng)時間為2000年;病毒運行后刪除自身。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
