操作系统被入侵后的修复过程
前言:由于工作的特殊性,接触到这些东西。这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考
正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在。呵呵,刚上岗就发现问题,嘻嘻,好好表现。
可以肯定,此主机被入侵。
操作:
1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常。Pcanywhere10.0远程管理。页面采用动力文章系统,版本3.51修改。 挂接另一网站,采用动网修改版。
2 测试发现,前管理员未注意web安全。动力文章有严重上传漏洞,而未修补。动网版本7.00sp2 ,但不排除已被入侵。随即,彻底检查系统,未发现木马。确定主机系统安全。但在web里发现大量webshell,待清除。Iis6.0 无日志记录!
3 检查修复 ( 备份当前web系统。)
A 时间查找法:根据上述文件的最早创建时间,搜索此时间以后创建和修改的所有文件。又发现许多未知gif,jpg,asp,cer等格式文件。用记事本打开发现,俱为asp木马。备份,删除。
B 工具查找法:在手动查找之后,安装杀毒软件,全面杀毒,除杀出少部分asp木马,未有其他发现。检查用户,无异常。检查C盘,无不明文件。说明,入侵者在获得web权限后未进一步提升权限,但不排除安装更隐蔽的木马。待查。
C 根据时间查找法,发现正常asp文件有些已被修改。其中,动力文章系统管理页面被插入代码,将管理员密码明文保存。代码与动网论坛明文获取密码代码类似。
在其他被修改的asp文件中,发现有动鲨网页木马,icefox的一句话木马,海洋木马等,均加密处理。
D 修复;备份此web系统,提取数据库。删除!还原数月前备份之系统,检查,无木马!导入现在的数据库。删除动力文章上传软件的asp文件,加入防注入代码。修改所有web管理员密码,修改所有系统管理员密码. 升级pcanywhere 到11.0 修改pcanywhere 的密码并限制ip。打开iis6.0日志记录。由于挂接的网站,长期未更新,web管理员无法联络,更改路径,去除连接,备用!
分析: 由于主机权限设置问题,入侵者可能无法提升权限。(可能已经获得pcanywhere 密码,但主机长期保持锁定状态。据估计是入侵者技术尚浅。)由他所留文件分析。在获得webshell的情况下,他上传cmd文件,但权限设置较好,估计为能获取的太多信息。上传2003.bat xp3389.exe 等文件,想开服务器3389端口。但还是由于权限问题,无法提升。Ps:一台主机如果安装pcanywhere ,将无法开启3389服务,其主要文件被pcanywhere替换。开启不了。其他文件为察看进程,安装服务等工具,估计在未获得更高权限的情况下,得到的信息不足以获取管理员权限。唯一注意的是,pcanywhere的密码文件,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目录为everyone可见,其中有pcanywhere的密码文件*.cif ,网上有密码察看器,但11.0版本无法察看。呵呵,升级一下吧。
相关推荐
-
操作系统被入侵后的修复过程
前言:由于工作的特殊性,接触到这些东西.这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考 正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在.呵呵,刚上岗就发现问题,嘻嘻,好好表现. 可以肯定,此主机被入侵. 操作: 1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常.Pcanywhere10.0远程管理.页面采用动力文章系统,版本3.51修改. 挂接另一网站,采用动网修改版. 2 测试发现
-
简述一次操作系统被入侵之后的修复过程
前言:由于工作的特殊性,接触到这些东西.这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考 正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在.呵呵,刚上岗就发现问题,嘻嘻,好好表现. 可以肯定,此主机被入侵. 操作: 1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常.Pcanywhere10.0远程管理.页面采用动力文章系统,版本3.51修改. 挂接另一网站,采用动网修改版. 2 测试发现
-
管理员需要参考的当服务器被入侵后的紧急补救方法
攻击者入侵某个系统,总是由某个主要目的所驱使的.例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,攻击者最终窃取了这些机密数据. 而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同.因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢
-
系统重装后免中毒十招技巧
在操作系统进行重新安装后,由于安全设置以及补丁未及时安装等问题,最容易导致病毒的大肆入侵,因此一些必备的补充措施是非常关键的,"北方网"在<新系统最容易中毒,重装系统后要做十件大事>一文中给出了10条建议,值得大家借鉴. 第1件大事:不要急着接入网络 在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵.此时要加上冲击波和震撼波补丁后并重新启动再联入互联网. 第2件大事:给系统打补丁/安装杀毒软件
-
视窗操作系统密码体系的弱点及对策(图)
一.问题的提出 本文仅就此处所列的几个在实际工作里发现的问题,对目前普遍使用的视窗操作系统里隐藏的几个有关密码体系的危险弱点进行了分析并给出相应对策,这些危险弱点导致的计算机安全隐患,希望能引起相关用户的重视. 1.视窗操作系统"用户登录"对话框问题 图A是大家熟悉的"用户登录"对话框: 图A 大家都知道,只要愿意,现在可以通过很多能方便从互联网上下载的实用程式对图A所示的"TesT"用户进行"Crack"以获得其原先设定在T
-
高手进阶 巧改设置强化3389入侵
作者:九剑 出处:电脑报 很多朋友利用输入法漏洞通过3389端口入侵别人的服务器时,会发现在连接对方机器后,无法像内网计算机那样可以互传文件,这在很大程度上使入侵后的攻击大打折扣,其实打上微软自家的"补丁"就可以解决这个问题. 在此,笔者就要为大家介绍一下服务器端和客户端的配置方法,让大家能够通过3389终端服务,实现终端机器与本地机器的文件互传. 服务器端(被攻击方) 首先,在http://www.sixvee.com/520yy/cpcw/rdp.rar下载补丁包,其中包含rdpc
-
win2003 回收站目录的权限设置安全问题防止被入侵
请下载最新版的安全包(2011-1-11),点击"设置回收站目录权限"及"设置Media等目录权限"功能,就可以解决以下问题: 回收站目录的权限存在users组成写入与运行权限造成的提权: 如: C:\RECYCLER D:\RECYCLER .... 等目录,这些目录默认是隐藏的,您要看到这些目录需要显示系统文件才能看到. 如果这些目录中有你不认识的vbs,exe等文件就很可能是入侵后的后门. 注意,使用最新安全包后,可能会提示回收站被破坏,不用担心,这个提示不影
-
网站被黑后的处理方法及批量删除恶意代码
如果发现网站出现异常情况,如页面被修改.管理账号不能登录,则说明网站已经被入侵.这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散. 暂时关闭网站 网站被黑客入侵后,最常见的情况就是被植入木马程序,为了保证浏览者的安全,必须先关闭网站,待处理完毕后再开放.关闭时可以暂时将域名转向其它地址,如建立一个网站的帖吧,或者放置一个说明页面. 使用备份恢复 如果网站文件被黑客破坏或删除,假如事先进行过网站数据备份的话,可以直接使用备份文件恢复.万一没有对备份进行备份,而数据又非常重要的话,建议先不要进行
-
浅谈云服务器下如何选择操作系统
目录 Windows操作系统和Linux操作系统有何区别? Windows系统和Linux系统哪个更好,应该怎么选择? 华为云提供哪些版本的操作系统? 如果选错了云服务器的操作系统,怎么切换? Windows操作系统和Linux操作系统有何区别? Windows操作系统:需支付版权费用,(华为云已购买正版版权,在华为云购买云服务器的用户安装系统时无需额外付费),界面化的操作系统对用户使用习惯来说可能更容易上手:目前华为云提供的版本有2008版.2012版.2016版和2019版,并有英文和中文版
-
服务器维护小常识(win+linux)
为了方便大家在维护中了解一些维护内容的同时又能避免出现错误.下面就收集了一些服务器日常维护的常识供大家参考. 服务器日常维护常识之硬件维护 服务器日常维护常识硬件维护1.储存设备的扩充 当资源不断扩展的时候,服务器就需要更多的内存和硬盘容量来储存这些资源.所以,内存和硬盘的扩充是很常见的.增加内存前需要认定与服务器原有的内存的兼容性,最好是同一品牌的规格的内存.如果是服务器专用的ECC内存,则必须选用相同的内存,普通的SDRAM内存与ECC内存在同一台服务器上使用很可能会引起统严重出错.在增加硬