前兩天朋友的服務器被人掛馬了,很可能服務器系統也被人植入了木馬,朋友把排查木馬的這個艱巨任務交給了我。最後成功地將服務器上的木馬借助工具手工清除。(由於當時的過程沒有記錄下來,所以以下的操作過程是虛擬機搭建的win2003環境,模擬木馬清除全過程)。
首先經過某個服務器版殺毒軟件的一番掃描後,沒有查出任何木馬,但是這個完全不能確定服務器上沒有被植入木馬,接著查看進程,沒有可疑的進程 出現,查看進程只能對付一些沒有插入進程的木馬。最好的排查方式是查看端口,凌晨兩點網站訪問的人也十分少,索性關閉了IIS,以及所有可能進行網絡連接 的程序,通過冰刃1.22查看到了,一個對外連接的80端口開放,IIS已經關閉,服務器上也沒有訪問任何網站,顯然這個80端口很可能是木馬的對外連 接。圖1
圖1
而且很明顯是svchost.exe這個進程打開了80端口,更可疑了,甚至可以判定,是某個DLL插入型木馬插入到了svchost.exe這個進程,在以某個模塊的身份運行。
很高興的是,在此之前我經常讓朋友備份服務器上的加載模塊快照,在此時派上用場,通過這些快照可疑迅速的找到可疑的被加載的DLL模塊。在這 裡說一下如何創建進程加載模塊快照,在“開始”?“運行”裡輸入msinfo32.exe,緊接著片打開了一個程序窗口,接著按照下面的方式進行建立,在 左側下拉列表菜單中選擇“軟件環境”?“加載的模塊”,就可以查看到所有進程加載的模塊,如圖2
圖2
然後點擊下名稱,使列表按照名稱排列,都按照此方式,方便以後對照。
之後在頂部的下拉菜單中選擇“文件”?“導出”,將當前的列表導出為文本 文件。這樣就完成了備份,由於服務器配置完畢後很少在進行其他的軟件安裝,也很少更改當前的配置,所以這些被加載模塊的名稱一般是不變的。在這裡還可以查 看模塊文件的創建日期等信息,對於一個隱蔽比較強的木馬,一般在安裝的時候都會把自身改成一個較早的文件日期,所以在查看文件創建信息的時候也沒有查看到 引起懷疑的信息。
接著拿出朋友以前備份的模塊快照和當前的進行比對,發現了多了一個可疑的模塊,名稱為iasex,圖3
圖3
用記事本記錄下了這個這個模塊的名稱,在Windows任務管理器中搜索這個文件,沒有找到任何文件,這也是很常見的情況,現在的木馬都很難纏,不會這麼 輕易的就被查找出來的,當然更不會就這麼輕易的放棄,接下來借助冰刃查看system32目錄下的所有文件終於找到了一個名為iasex.dll的文件, 如圖4
圖4
這個文件在資源管理器中是搜索不到的。可以判定這個就是對比出來的被加載的模塊。之後將這個文件復制出來。為了進一步確認一下這個文件到底是不是木馬,可 以用冰刃來查看打開80端口的svchost.exe所加載的模塊裡面是否有這個文件,查找過程過程:先在冰刃裡記錄打開80端口的 svchost.exe的進程ID(圖1中,進程ID為820),之後在冰刃中查看進程,查看ID為820的進程,圖5
最終果真在模塊信息裡找到一個非常可疑的模塊信息。圖6