黑客教你如何查找入侵者

yxwxqflbyg

一天正在发呆，QQ上的一个朋友向我求救：“我的网站被黑了，首页给换了，SOS！”。最近正好无事，索性就帮帮他吧。
收复失地
刚刚准备在浏览器上输入他网站的地址，结果却停了下来：如果入侵者在首页挂了马，我岂不是也要遭殃？所以我先用查看挂马的工具检查了一下。没有不可见窗体、没有JS调用、没有Object，OK。进了首页看到上面只有入侵者的名字和一些图片，网站里边的具体情况待会再看吧。向朋友要了管理员的密码，用 3389登录上去一探究竟。
先看看服务器用户的情况，输入“net user”后发现“tsinternetuser”这个用户比较显眼。
依稀记得tsinternetuser是Windows2000的终端用户，但在Windows2003中并不存在。怕不肯定，我去百度查询了一下，又问了问朋友，都说不应该有这个用户。看来这次入侵者弄巧成拙了，当我检查管理员组后，发现并不存在此用户，初步猜测它应该是克隆出来的。先打开 Regedt32将自己的权限提上去：打开Regedit，来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ account\”，对比管理员和“tsinternetuser”中二进制键F的数值，结果发现是一样的。由此断定用户 “tsinternetuser”被克隆成管理员。接着检查其他用户，没有发现被克隆的痕迹。删除“tsinternetuser”，不过事情到这里并没完。
检查后门
祭出“冰刃”，它可是后门的克星，大部分的妖魔鬼怪在它面前都会无所遁形。
先用冰刃查看进程，发现并没有隐藏进程（红色标示）。再查看端口，发现1066端口在监听。
此端口不是常用端口且启动它的程序也不常见。
在进程选项中查看“systemram.exe”，发现此进程还有个芯片图标，
难怪刚才没注意到。先把他结束掉，但别着急删除。我们先看看启动组是否正常，看了一下没什么问题。
但在查看服务时发现了一个熟悉的身影：Radmin。
程序本身也正好是监听1066端口的程序。这下好办了，删除程序、卸载服务。
Radmin还是很好清除的（在网上搜索，发现这是百世经纶修改版 Radmin，难怪没有发现admdll.exe和raddrv.dll。
但它在服务方面就做得太差了，让人一看就能知道是后门服务）。
重整河山
检查了半天没有发现别的后门，这个入侵者一点技术含量都没有。接下来该恢复网站了。
浏览了一下网站，发现许多页面被改的面目全非。我从备份文件中把网站恢复了一下，这样总算能正常访问了。
接下来的任务就是把网站的漏洞补上，因为不知道入侵者是怎么进来的，还要全面的检查一次。
翻出N多工具狂轰滥炸一番，没有明显的漏洞，又手工检查了一些“偏僻”的地方，也没找到漏洞。
入侵者到底是怎么进来的呢？旁注？不可能，网站采用的是独立服务器。
突然想到可以检查入侵者留下的WebShell位置，以判断他的入侵位置。将lake2写的查找ASP木马的工具传上去。
此工具很好用，他查找的特征码是那些危险组件和函数。
WebShell的位置在动网论坛目录里，基本上确定它是从这里进来的。可是我刚才测试时发现提权漏洞已经补上了。
再检查一下论坛也没发现跨站的代码，到底他是怎么进来的呢？难道是故意把WebShell放在论坛目录下？
向朋友询问了论坛管理员的密码……很弱智，并且前后台还都一样。有心的人猜几次就知道了，
看来安全问题大多数都是人本身的问题，最后我让朋友把密码改得强壮些。基本上“失地”已经收回了，现在该追击敌人了。
日志寻踪
做坏事就要付出代价，现在我就来捉住你。打开“事件查看器”，很不幸地发现所有日志都被清空，
IIS日志里只有我朋友和我的访问记录。我早就提醒过朋友要把日志的保存路径改一下，最好是安装专门的软件监控，可惜他就是不听。
小知识：修改日志存放位置的方法：
Windows的系统日志文件有应用程序日志，安全日志、系统日志、DNS服务器日志。应用程序日志、安全日志、系统日志、DNS日志默认位置：
%systemroot%\system32\config，默认文件大小512KB。
安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系统日志文件：%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
DNS日志：%SystemRoot%\system32\config\DnsEvent.EVT
修改Windows系统日志的存放位置要在注册表中修改。打开注册表，
找到“HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Eventlog”，
此目录下的分支分别对应不同的日志，每个目录中的“file“键是日志的存放位置，修改它就可以了。
修改IIS日志保存位置：打开Internet信息服务（IIS）管理器，找到你的网站查看它的属性，选择日志旁边的属性，在这里就可以更改.“高级”选项还可以选择日志记录的信息种类。IIS日志也可以保存到数据库中。
看来入侵者还是有点“安全”意识的，这可让我犯难了，上哪去找他呀？就在我快要放弃的时候，
看到了入侵者留下的WebShell。查看他的密码（有人喜欢用自己的QQ号作为WebShell密码，我就遇到过几个这样的），
可惜没有得到我想要的资料。不过这倒让我想起了他是从动网入侵的，那么在动网的数据库里应该有记录才是。打开动网数据库，
翻看DV_LOG表，里面的记录入侵者可能忘记删除了。从这里确定了他的入侵方法：上传文件再备份成ASP，更令人高兴的是得到了他的IP。
韩城攻略
搜索了一下这个IP，发现竟然是韩国的主机。
先用端口扫描，发现主机开了21、1433、3389这几个端口。
没有开80端口，看来通过网站渗透进去是不可能了，重点放在1433端口。用MSSQL溢出测试，结果没有成功。
只能寄希望于弱口令上了。我比较喜欢用HSCAN。命令格式：“HSCAN -h ip -mssql –ftp”。
果然有一个SA空口令。用SQLTools连接成功，执行命令时发现xplog70.dll被删除了。
翻了半天硬盘也没找到xplog70.dll，问了几个朋友也说没有。看来只能用别的扩展组件执行命令了。
用SQL查询分析器连接目标主机时出现了奇怪的现象，连接成功后程序自动关闭，从网上又下载了一个也是这样，
输入错误的密码还会提示密码错误，真搞不懂是怎么回事。正当我不知所措的时候，朋友扔过来一个 SQLRootkit 。
在程序界面里添上IP，用户名和密码，点击登录后就连接成功。SqlRootkit利用四种组件来执行系统命令，
在执行前还可以先检测一下组件，并且它还具有恢复的功能。当然前提是支持组件的文件要存在，
如xplog70.dll、odsole70.dll和xpstar.dll。我们先看看组件是否存在。
xp_cmdshell缺少文件不能用、sp_oraceate显示执行成功但主机没有执行命令、xp_regwrite执行命令超时、
xp_servicecontrol执行命令虽然没有回显，但却是唯一能执行成功的。
远程登录主机，打开事件查看器，发现日志没有被删除。用动网数据库中记录的入侵时间比对了一下安全中的用户登录日志，
找到了入侵者的IP。从“C:\ Documents and Settings”目录下找到了入侵者浏览网站的历史记录，这下证据确凿，
他跑不了了（日志的图片就不给大家看了，见谅）。查看入侵者的IP得知是上海的 ADSL。临走时在CMD下执行了：“quser”，
看到管理员也在线，并且发现了这台主机已经在线三百天了。
我还没见过在线时间这么长的Windows主机，难怪入侵者那么嚣张。把入侵者的IP和相关的证据交给了朋友把并过程告诉了他，
后面的事情就随他了。
总结这次反入侵过程，基本上没碰到难处，可以说一气呵成。也没有什么新技术，都是大家知道的，就是把它们都组合起来而已。
感觉防护比入侵难多了，要从各个方面做好防护。在这里奉劝那些“黑客”，我们去入侵是印证自己的技术，不是用来搞破坏的。

cbz107

转的？

招财猫

里海阿，好文章，多发点，长知识。。。。。。