查看: 2738|回复: 2
收起左侧

[技巧] 黑客教你如何查找入侵者

[复制链接]
yxwxqflbyg
发表于 2007-9-21 22:36:44 | 显示全部楼层 |阅读模式
一天正在发呆,QQ上的一个朋友向我求救:“我的网站被黑了,首页给换了,SOS!”。最近正好无事,索性就帮帮他吧。
收复失地
刚刚准备在浏览器上输入他网站的地址,结果却停了下来:如果入侵者在首页挂了马,我岂不是也要遭殃?所以我先用查看挂马的工具检查了一下。没有不可见窗体、没有JS调用、没有Object,OK。进了首页看到上面只有入侵者的名字和一些图片,网站里边的具体情况待会再看吧。向朋友要了管理员的密码,用 3389登录上去一探究竟。
先看看服务器用户的情况,输入“net user”后发现“tsinternetuser”这个用户比较显眼。
依稀记得tsinternetuser是Windows2000的终端用户,但在Windows2003中并不存在。怕不肯定,我去百度查询了一下,又问了问朋友,都说不应该有这个用户。看来这次入侵者弄巧成拙了,当我检查管理员组后,发现并不存在此用户,初步猜测它应该是克隆出来的。先打开 Regedt32将自己的权限提上去:打开Regedit,来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ account\”,对比管理员和“tsinternetuser”中二进制键F的数值,结果发现是一样的。由此断定用户 “tsinternetuser”被克隆成管理员。接着检查其他用户,没有发现被克隆的痕迹。删除“tsinternetuser”,不过事情到这里并没完。
检查后门
祭出“冰刃”,它可是后门的克星,大部分的妖魔鬼怪在它面前都会无所遁形。

先用冰刃查看进程,发现并没有隐藏进程(红色标示)。再查看端口,发现1066端口在监听。
此端口不是常用端口且启动它的程序也不常见。
在进程选项中查看“systemram.exe”,发现此进程还有个芯片图标,
难怪刚才没注意到。先把他结束掉,但别着急删除。我们先看看启动组是否正常,看了一下没什么问题。
但在查看服务时发现了一个熟悉的身影:Radmin。
程序本身也正好是监听1066端口的程序。这下好办了,删除程序、卸载服务。
Radmin还是很好清除的(在网上搜索,发现这是百世经纶修改版 Radmin,难怪没有发现admdll.exe和raddrv.dll。
但它在服务方面就做得太差了,让人一看就能知道是后门服务)。
重整河山
检查了半天没有发现别的后门,这个入侵者一点技术含量都没有。接下来该恢复网站了。
浏览了一下网站,发现许多页面被改的面目全非。我从备份文件中把网站恢复了一下,这样总算能正常访问了。

接下来的任务就是把网站的漏洞补上,因为不知道入侵者是怎么进来的,还要全面的检查一次。
翻出N多工具狂轰滥炸一番,没有明显的漏洞,又手工检查了一些“偏僻”的地方,也没找到漏洞。

入侵者到底是怎么进来的呢?旁注?不可能,网站采用的是独立服务器。
突然想到可以检查入侵者留下的WebShell位置,以判断他的入侵位置。将lake2写的查找ASP木马的工具传上去。
此工具很好用,他查找的特征码是那些危险组件和函数。
WebShell的位置在动网论坛目录里,基本上确定它是从这里进来的。可是我刚才测试时发现提权漏洞已经补上了。
再检查一下论坛也没发现跨站的代码,到底他是怎么进来的呢?难道是故意把WebShell放在论坛目录下?
向朋友询问了论坛管理员的密码……很弱智,并且前后台还都一样。有心的人猜几次就知道了,
看来安全问题大多数都是人本身的问题,最后我让朋友把密码改得强壮些。基本上“失地”已经收回了,现在该追击敌人了。
日志寻踪
做坏事就要付出代价,现在我就来捉住你。打开“事件查看器”,很不幸地发现所有日志都被清空,

IIS日志里只有我朋友和我的访问记录。我早就提醒过朋友要把日志的保存路径改一下,最好是安装专门的软件监控,可惜他就是不听。
小知识:修改日志存放位置的方法:

Windows的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志。应用程序日志、安全日志、系统日志、DNS日志默认位置:
%systemroot%\system32\config,默认文件大小512KB。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
DNS日志:%SystemRoot%\system32\config\DnsEvent.EVT
修改Windows系统日志的存放位置要在注册表中修改。打开注册表,

找到“HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Eventlog”,
此目录下的分支分别对应不同的日志,每个目录中的“file“键是日志的存放位置,修改它就可以了。
修改IIS日志保存位置:打开Internet信息服务(IIS)管理器,找到你的网站查看它的属性,选择日志旁边的属性,在这里就可以更改.“高级”选项还可以选择日志记录的信息种类。IIS日志也可以保存到数据库中。
看来入侵者还是有点“安全”意识的,这可让我犯难了,上哪去找他呀?就在我快要放弃的时候,

看到了入侵者留下的WebShell。查看他的密码(有人喜欢用自己的QQ号作为WebShell密码,我就遇到过几个这样的),
可惜没有得到我想要的资料。不过这倒让我想起了他是从动网入侵的,那么在动网的数据库里应该有记录才是。打开动网数据库,
翻看DV_LOG表,里面的记录入侵者可能忘记删除了。从这里确定了他的入侵方法:上传文件再备份成ASP,更令人高兴的是得到了他的IP。
韩城攻略
搜索了一下这个IP,发现竟然是韩国的主机。
先用端口扫描,发现主机开了21、1433、3389这几个端口。
没有开80端口,看来通过网站渗透进去是不可能了,重点放在1433端口。用MSSQL溢出测试,结果没有成功。

只能寄希望于弱口令上了。我比较喜欢用HSCAN。命令格式:“HSCAN -h ip -mssql –ftp”。
果然有一个SA空口令。用SQLTools连接成功,执行命令时发现xplog70.dll被删除了。
翻了半天硬盘也没找到xplog70.dll,问了几个朋友也说没有。看来只能用别的扩展组件执行命令了。

用SQL查询分析器连接目标主机时出现了奇怪的现象,连接成功后程序自动关闭,从网上又下载了一个也是这样,
输入错误的密码还会提示密码错误,真搞不懂是怎么回事。正当我不知所措的时候,朋友扔过来一个 SQLRootkit 。
在程序界面里添上IP,用户名和密码,点击登录后就连接成功。SqlRootkit利用四种组件来执行系统命令,
在执行前还可以先检测一下组件,并且它还具有恢复的功能。当然前提是支持组件的文件要存在,
如xplog70.dll、odsole70.dll和xpstar.dll。我们先看看组件是否存在。
xp_cmdshell缺少文件不能用、sp_oraceate显示执行成功但主机没有执行命令、xp_regwrite执行命令超时、

xp_servicecontrol执行命令虽然没有回显,但却是唯一能执行成功的。
远程登录主机,打开事件查看器,发现日志没有被删除。用动网数据库中记录的入侵时间比对了一下安全中的用户登录日志,

找到了入侵者的IP。从“C:\ Documents and Settings”目录下找到了入侵者浏览网站的历史记录,这下证据确凿,
他跑不了了(日志的图片就不给大家看了,见谅)。查看入侵者的IP得知是上海的 ADSL。临走时在CMD下执行了:“quser”,
看到管理员也在线,并且发现了这台主机已经在线三百天了。
我还没见过在线时间这么长的Windows主机,难怪入侵者那么嚣张。把入侵者的IP和相关的证据交给了朋友把并过程告诉了他,

后面的事情就随他了。
总结这次反入侵过程,基本上没碰到难处,可以说一气呵成。也没有什么新技术,都是大家知道的,就是把它们都组合起来而已。

感觉防护比入侵难多了,要从各个方面做好防护。在这里奉劝那些“黑客”,我们去入侵是印证自己的技术,不是用来搞破坏的。
cbz107
发表于 2007-9-21 22:42:00 | 显示全部楼层
转的?
招财猫
发表于 2007-9-22 06:29:14 | 显示全部楼层
里海阿,好文章,多发点,长知识。。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:18 , Processed in 0.118139 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表