简述一次操作系统被入侵之后的修复过程
前言:由于工作的特殊性,接触到这些东西。这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考
正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在。呵呵,刚上岗就发现问题,嘻嘻,好好表现。
可以肯定,此主机被入侵。
操作:
1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常。Pcanywhere10.0远程管理。页面采用动力文章系统,版本3.51修改。 挂接另一网站,采用动网修改版。
2 测试发现,前管理员未注意web安全。动力文章有严重上传漏洞,而未修补。动网版本7.00sp2 ,但不排除已被入侵。随即,彻底检查系统,未发现木马。确定主机系统安全。但在web里发现大量webshell,待清除。Iis6.0 无日志记录!(晕)
3 检查修复 ( 备份当前web系统。)
A 时间查找法:根据上述文件的最早创建时间,搜索此时间以后创建和修改的所有文件。又发现许多未知gif,jpg,asp,cer等格式文件。用记事本打开发现,俱为asp木马。备份,删除。
B 工具查找法:在手动查找之后,安装杀毒软件,全面杀毒,除杀出少部分asp木马,未有其他发现。检查用户,无异常。检查C盘,无不明文件。说明,入侵者在获得web权限后未进一步提升权限,但不排除安装更隐蔽的木马。待查。
C 根据时间查找法,发现正常asp文件有些已被修改。其中,动力文章系统管理页面被插入代码,将管理员密码明文保存。代码与动网论坛明文获取密码代码类似。
在其他被修改的asp文件中,发现有动鲨网页木马,icefox的一句话木马,海洋木马等,均加密处理。
D 修复;备份此web系统,提取数据库。删除!还原数月前备份之系统,检查,无木马!导入现在的数据库。删除动力文章上传软件的asp文件,加入防注入代码。修改所有web管理员密码,修改所有系统管理员密码. 升级pcanywhere 到11.0 修改pcanywhere 的密码并限制ip。打开iis6.0日志记录。由于挂接的网站,长期未更新,web管理员无法联络,更改路径,去除连接,备用!
分析:由于主机权限设置问题,入侵者可能无法提升权限。(可能已经获得pcanywhere 密码,但主机长期保持锁定状态。据估计是入侵者技术尚浅。)由他所留文件分析。在获得webshell的情况下,他上传cmd文件,但权限设置较好,估计为能获取的太多信息。上传2003.bat xp3389.exe 等文件,想开服务器3389端口。但还是由于权限问题,无法提升。Ps:一台主机如果安装pcanywhere ,将无法开启3389服务,其主要文件被pcanywhere替换。开启不了。其他文件为察看进程,安装服务等工具,估计在未获得更高权限的情况下,得到的信息不足以获取管理员权限。唯一注意的是,pcanywhere的密码文件,是everyone可以察看的,在*:\Documents and Settings\All Users\Application Data\Symantec ,此目录为everyone可见,其中有pcanywhere的密码文件*.cif ,网上有密码察看器,但11.0版本无法察看。呵呵,升级一下吧。
相关推荐
-
简述一次操作系统被入侵之后的修复过程
前言:由于工作的特殊性,接触到这些东西.这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考 正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在.呵呵,刚上岗就发现问题,嘻嘻,好好表现. 可以肯定,此主机被入侵. 操作: 1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常.Pcanywhere10.0远程管理.页面采用动力文章系统,版本3.51修改. 挂接另一网站,采用动网修改版. 2 测试发现
-
操作系统被入侵后的修复过程
前言:由于工作的特殊性,接触到这些东西.这篇文章仅仅对一简单入侵作分析,不具有rootki之类内核级木马!高手见笑,仅供参考 正文:刚刚当上学校某站的系统管理员,负责3台主机,先检查一下,发现一台主机skin目录下有可疑文件存在.呵呵,刚上岗就发现问题,嘻嘻,好好表现. 可以肯定,此主机被入侵. 操作: 1 系统采用2003+iis6.0 ,NTFS分区格式,权限设置正常.Pcanywhere10.0远程管理.页面采用动力文章系统,版本3.51修改. 挂接另一网站,采用动网修改版. 2 测试发现
-
.Net WInform开发笔记(二)Winform程序运行结构图及TCP协议在Winform中的应用
中午没事,把去年刚毕业那会画的几张图翻出来了,大概介绍Winform应用程序运行的过程,以及TCP协议在Winform中的应用.如果有Windows消息机制等基础,很好理解这两张图. (1)Winform应用程序运行结构图 (2)TCP通讯协议在Winform程序中的应用示意图 熟悉整个程序的来龙去脉,编程的时候就会很轻松,不会云里雾里. 另附公司招聘面试题一份,用了几次,发现效果不好,不知啥原因 1.简述接口.抽象类的区别. 2.简述重载(overload)与重写(override)的区别.
-
操作系统安全防范简述:Linux篇
Linux作为自由.开放的象征,越来越受到广大用户的关注,但真正使用的个人用户较少,主要是因为它的系统特性,及周边的软件开发商较少,让它只在服务器系统领域有所普及.它的安全防护,笔者稍做介绍: 1. 禁止访问重要文件 Linux不像Windows,它不但公布源代码,其核心程序还可以根据用户需要任意修改,而对于系统中的某些关键性文件如inetd.conf和lilo.conf等,同样可以被(远程登录用户)修改,为了保护系统安全,可以事先修改其属性,以防止非法的入侵和修改. 首先进入Linux的命令界
-
入侵oracle数据库的一些技巧
软件作者:pt007[at]vip.sina.com版权所有,转载请注明版权 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 一.先看下面的一个贴子: Oracle数据库是现在很流行的数据库系统,很多大型网站都采用Oracle,它之所以倍受用户喜爱是因为它有以下突出的特点: 1.支持大数据库.多用户的高性能的事务处理.Oracle支持最大数据库,其大小可到几百千兆,可充分利用硬件设备.支持大量用户同时在同一数据上执行各种数据应用,并使数据争用最小,保证数据一致性.系统维护
-
黑客入侵Windows XP系统常用七大招数
本文讲述了黑客入侵Windows XP操作系统常用的七种方法,如果大家遇到类似那可要注意了-- 第一招:屏幕保护 在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全. 提示:部分设计不完善的屏幕保护程序没有屏蔽系统的"Ctrl+Alt+Del"
-
ADSL入侵的防范
随着各地ADSL网络的蓬勃发展,实现永久连接.随时在线已不再是遥远的梦,但是,我们必须明白,永久连入Internet同样也意味着遭受入侵的可能性大大增加.知己知彼,方能百战不殆,让我们了解一下黑客入侵ADSL用户的方法和防范手段吧.黑客入侵ADSL用户的方法 ADSL在很多地方都是包月制的,这样的话,黑客就可以用更长的时间进行端口以及漏洞的扫描,甚至采用在线暴力破解的方法盗取密码,或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门. 要完成一次成功的网络攻击,一般有以下几步.第一步就是要
-
NT完全入侵教程(新手篇)
现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而"黑客"的攻击引来了企业信息安全危机-- 得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗.但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认为密码为空没什么,因为他们压根就不知道"黑客"会怎么做.本文介绍的就是得到NT的管理员密码以后入侵一个企业计算机群的初级和中级手法,尤其是在一个大型企业当中,企业系统管理员的密码往往关系着整个公司的
-
Win Vista操作系统安全性能剖析
安全性是 Windows Vista 体系结构的基础.利用 Windows Vista,您将能够连接到想连接的任何用户,并且做想做的任何事情,相信 Windows Vista 能保证您的信息和计算机的安全. Windows Vista 的安全功能防止最新生成的威胁(如蠕虫.病毒和 malware).在不可能的成功入侵事件中,Windows Vista 确保将损坏程度降至最低. 用户帐户保护 通过运行带有受限许可的应用程序,Windows Vista 用户帐户保护在用户和管理特权之间架起一座桥梁.
-
防范非法用户入侵Win 2000/XP系统七招
本文通过七步设置介绍了针对W indows 2000和Windows XP操作系统如何防范非法用户入侵的"七招". 第一招:屏幕保护 在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全. 提示:部分设计不完善的屏幕保护程序没有屏蔽系统的&quo