萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 操作系統被入侵後的修復過程

操作系統被入侵後的修復過程

  剛剛當上學校某站的系統管理員,負責3台主機,先檢查一下,發現一台主機skin目錄下有可疑文件存在。呵呵,剛上崗就發現問題,嘻嘻,好好表現。   可以肯定,此主機被入侵。   操作:   1 系統采用2003 iis6.0 ,NTFS分區格式,權限設置正常。Pcanywhere10.0遠程管理。頁面采用動力文章系統,版本3.51修改。 掛接另一網站,采用動網修改版。   2 測試發現,前管理員未注意web安全。動力文章有嚴重上傳漏洞,而未修補。動網版本7.00sp2 ,但不排除已被入侵。隨即,徹底檢查系統,未發現木馬。確定主機系統安全。但在web裡發現大量webshell,待清除。Iis6.0 無日志記錄!   3 檢查修復 ( 備份當前web系統。)   A 時間查找法:根據上述文件的最早創建時間,搜索此時間以後創建和修改的所有文件。又發現許多未知gif,jpg,asp,cer等格式文件。用記事本打開發現,俱為asp木馬。備份,刪除。   B 工具查找法:在手動查找之後,安裝殺毒軟件,全面殺毒,除殺出少部分asp木馬,未有其他發現。檢查用戶,無異常。檢查C盤,無不明文件。說明,入侵者在獲得web權限後未進一步提升權限,但不排除安裝更隱蔽的木馬。待查。   C 根據時間查找法,發現正常asp文件有些已被修改。其中,動力文章系統管理頁面被插入代碼,將管理員密碼明文保存。代碼與動網論壇明文獲取密碼代碼類似。   在其他被修改的asp文件中,發現有動鲨網頁木馬,icefox的一句話木馬,海洋木馬等,均加密處理。   D 修復;備份此web系統,提取數據庫。刪除!還原數月前備份之系統,檢查,無木馬!導入現在的數據庫。刪除動力文章上傳軟件的asp文件,加入防注入代碼。修改所有web管理員密碼,修改所有系統管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼並限制ip。打開iis6.0日志記錄。由於掛接的網站,長期未更新,web管理員無法聯絡,更改路徑,去除連接,備用!   分析: 由於主機權限設置問題,入侵者可能無法提升權限。(可能已經獲得pcanywhere 密碼,但主機長期保持鎖定狀態。據估計是入侵者技術尚淺。)由他所留文件分析。在獲得webshell的情況下,他上傳cmd文件,但權限設置較好,估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件,,想開服務器3389端口。但還是由於權限問題,無法提升。Ps:一台主機如果安裝pcanywhere ,將無法開啟3389服務,其主要文件被pcanywhere替換。開啟不了。其他文件為察看進程,安裝服務等工具,估計在未獲得更高權限的情況下,得到的信息不足以獲取管理員權限。唯一注意的是,pcanywhere的密碼文件,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見,其中有pcanywhere的密碼文件*.cif ,網上有密碼察看器,但11.0版本無法察看。呵呵,升級一下吧。
copyright © 萬盛學電腦網 all rights reserved