入侵兼反入侵的實例

一次入侵兼反入侵的實例

Alpha.st@SCUT
http://www.cshu.net
===============================================


一次入侵兼反入侵的實例
===============================================
同學給我介紹了一個電子商務網站，因為自己讀的就是電子商務專業，加上對網絡安全比較感興趣，所以看了這樣的好網站，當然要幫忙測試下網絡安全啦，首先做下常見端口掃描，咦，有狀況．．．．．．

6129端口開了，6129是上段時間在網上比較流行的一個遠程控制軟件的端口，想想網管自己應該不會給自己主機裝個這樣的玩意兒吧。難道．．．．．．．．嗯．．繼續掃掃，調出流光，掃啊掃，建立空連接失敗，沒有弱口令，ＩＩＳ沒有漏洞，ＭＳＳＱＬ連ＳＡ都改了密碼．．．．．不會啊～這個網站防御措施做的還是蠻足的啊，怎麼又像被人入侵過的痕跡呢？嗯．試試最近比較流行的那個ＭＳＳＱＬ溢出漏洞，試試看．．．．．

溢出成功！進去了．．．．

嗯嗯．．如果沒有估計錯的話，那麼那個遠程控制軟件就是以前的入侵者留下來的咯，作為一個電子商務網站，不能夠有效地解決網絡安全這個問題，難怪國人現在對網上交易還不大放心，既然如此，那就好事做到底，幫網管把這主機的漏洞補上，堵了入侵者的後門，斷了入侵者的後路．
首先把要用到的工具都上傳到目標主機上面去，建個IPC$管道，上傳一些待會分析要用到的工具，如mport.exe這個能查看進程對應端口的體積小卻功能強大工具．看下這主機有多少用戶屬於管理員組：

根據經驗，像backup$這類的用戶就一定是入侵者留下來的賬號，因為在命令行下，像hacker$這樣的用戶名你用net user是看不到的，系統默認會隱藏掉，但是有個致命的缺點，就是net localgroup則可以列出組中所有用戶，無論加了$還是沒有加．接著繼續判斷其他用戶的合法度．轉到C:\Documents and Settings目錄下，這個目錄記錄了曾經在目標主機上登陸過的用戶的一些信息：

每個文件夾前面的創建日期可以給我們一點提示，管理員賬號administrator創建於2002-02-01，除了webmaster是2002-11-19以外，其他的用戶都比較接近，所以我們把重點放在webmaster上面，這時我們需要得到更多有個這個賬號的信息，net user webmaster，得到此賬號上次登陸時間是＂上次登錄               2002/11/29 上午 08:44＂，也就是周五早上上班時間登陸的，再轉向C:\Documents and Settings\webmaster\桌面>目錄下：

桌面上有幾個常用的快捷方式，想想倒也蠻符合此賬號webmaster的身份，再轉到C:\Documents and Settings\webmaster\「開始」菜單\程序>目錄下，也只是幾個網管常用的工具連接，所以我們初步斷定webmaster這個賬號為合法賬號，那麼我們就除掉backup$這個用戶：net user backiup$ /del．
查完了用戶，就輪到查查入侵者是否有在主機上留下特洛伊木馬程序或是其他遠程控制程序此類的後門，這時就要用到前面上傳的mport.exe啦，執行下mport.exe，咦，又有情況：

主機竟然開了遠程終端，而且被換在了2887端口而不是默認的3389端口，看來又是入侵者的傑作．
命令行下：netstat –an看看現在都有誰連接到主機上：

哈！真是巧，有人在連接終端，原來入侵者就在身邊，那麼補漏的工作更加刻不容緩，
那麼咱們也登陸上終端看看，說不定會有新的發現．登上終端，輸入剛剛自己加的賬號，熟悉的桌面又展現眼前．繼續咱們的補漏工作，記得剛開始掃常見端口的時候主機開了80．查一查原來是台WEB發布服務器，主機上有5０來個網站，主機已經打了ＳＰ３，不存在idq/ida溢出，Unicode和二次解碼漏洞也不存在，主目錄設在了Ｅ盤下，也不必擔心那幾個默認的WEB共享文件夾，接著看看主機運行了哪些服務，按照以往的經驗，凡是服務名開頭的字母沒有大寫的，除了pcanywhere以外，都是入侵者自己留的後門或是其他別的什麼．還有一些服務名沒有改的遠程控制軟件一眼就可以看出來，像比較流行的Radmin：

入侵者雖然把服務端改成了sqlmsvr.exe這樣比較容易迷惑人的名字，可是服務名沒有改，還是很容易就被識破．

入侵者把遠程終端的端口和顯示名稱及描述都改成了，可是服務名稱還是沒有改到．所以並不難找出．

服務名稱還是把入侵者出賣了．找到這些後門後，先停服務，再把啟動類型改為禁用！！
接下來我們就要把我們進來時的漏洞堵上，到google搜下，這是有關ＭＳＳＱＬ這個溢出漏洞補丁的相關信息：
廠商補丁：
Microsoft已經為此發布了一個安全公告（MS02-039）以及相應補丁:
MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)
鏈接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
補丁下載：
    * Microsoft SQL Server 2000:
       http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

下載後，展開，得到ssnetlib.dll這個文件，這時只要dir ssnetlib.dll /s找出主機中所有的老ssnetlib.dll這個文件，改名後以新的ssnetlib.dll替換掉老ssnetlib.dll就把MSSQL這個溢出漏洞補上了．
命令行下：query user，用戶是guest，嗯。。。。。。估計是被克隆過的用戶
查下是不是。。。。。

果然！感覺補漏工作應該做得差不多了，也是時候跟入侵者say byebye了～
命令行下:net user guest /active:no，把guest這個用戶禁用。
命令行下：logo