Prólogo: Debido a la particularidad del trabajo, el contacto con estas cosas. ¡Este artículo solo analiza una invasión simple, no tiene un troyano de nivel de núcleo como rootki! Maestro rió, para fines de referencia de texto
: justo cuando una estación en el administrador del sistema de la escuela, responsable de tres anfitriones, compruebe primero en encontrar un directorio de acogida con la piel existen archivos sospechosos. Oh, acabo de encontrar un problema cuando estás en el trabajo, oye, hazlo bien.
Es cierto que este host se ha comprometido. Operación
:
1 El sistema adopta 2003 + iis6.0, el formato de partición NTFS y la configuración de permisos es normal. Pcanywhere10.0 gestión remota. La página está alimentada por Power Article System, versión 3.51. Adjunte otro sitio web y use la versión modificada de la red.
2 Descubre la prueba, el ex administrador no presta atención a la seguridad web. Los artículos potenciados tienen serias vulnerabilidades de carga y no están parcheados. Red dinámica versión 7.00sp2, pero no descarta que haya sido hackeado. Inmediatamente, el sistema fue inspeccionado a fondo y no se encontró ningún troyano. Determinar la seguridad del sistema host. Pero muchos webshells fueron encontrados en la web, para ser borrados. Iis6.0 no logging!
3 Verificar y reparar (respaldar el sistema web actual).
Un método de búsqueda de tiempo: busque, cree y modifique este tiempo de acuerdo con el tiempo de creación más antiguo del archivo anterior. Todos los archivos. También se encontraron muchos archivos gif, jpg, asp, cer y otros formatos desconocidos. Ábrelo con el Bloc de notas y encuéntralo como un troyano asp. Copia de seguridad, eliminar. método de búsqueda de herramientas
B: Después de encontrar manualmente, instale el software anti-virus, un antivirus completa, a excepción de una pequeña parte de asp incendio de Troya, sin otros hallazgos. Compruebe el usuario, sin excepciones. Compruebe la unidad C, no faltan archivos. Explique que el intruso no mejoró aún más los permisos después de obtener los permisos web, pero no descartó la instalación de más troyanos ocultos. Para ser revisado. método de búsqueda
C en función del tiempo, encontrar algún archivo asp normal se ha modificado. Entre ellos, la página de administración dinámica del sistema de artículos se inserta en el código, y la contraseña del administrador se guarda en texto sin formato. El código es similar al código de texto de contraseña en el foro de texto simple. En otro archivo modificado
asp que se encuentra en el tiburón de Troya móvil, caballo palabra icefox, caballitos de mar, están cifrados.
D Reparar; haga una copia de seguridad de este sistema web y extraiga la base de datos. Eliminar Restaure la copia de seguridad del sistema hace unos meses, verifique, ¡no hay ningún troyano! Importar la base de datos actual. Elimine el archivo asp del software dinámico de carga de artículos y agregue el código anti-inyección. Modifique todas las contraseñas de webmaster y modifique todas las contraseñas de administrador del sistema. Actualice pcanywhere a 11.0 para modificar las contraseñas de pcanywhere y limitar la ip. Abra el registro de registro iis6.0. Debido a que el sitio web vinculado no se ha actualizado durante mucho tiempo, el administrador de la web no puede ponerse en contacto, cambiar la ruta, eliminar la conexión y sobra.
Análisis: debido a la configuración de los permisos del host, es posible que los intrusos no puedan escalar los permisos.
(Es posible que se haya obtenido la contraseña de pcanywhere, pero el host permanece bloqueado durante mucho tiempo. Se estima que la tecnología del intruso todavía es superficial). Se analiza mediante los documentos que dejó. En el caso de webshell, subió el archivo cmd, pero los permisos están mejor configurados, lo que se estima que es demasiada información. Suba 2003.bat xp3389.exe y otros archivos, desee abrir el puerto del servidor 3389. Sin embargo, debido a problemas de permisos, no se puede mejorar. Ps: Si un host instala pcanywhere, no podrá abrir el servicio 3389 y su archivo principal será reemplazado por pcanywhere. No se puede abrir. Otros archivos son herramientas como procesos de visualización, instalación de servicios, etc. Se estima que sin obtener privilegios más altos, la información obtenida no es suficiente para obtener derechos de administrador. Lo único que se debe tener en cuenta es que el archivo de contraseñas de pcanywhere está disponible para todos. En *: Documentos y configuracionesA todos los usuarios Aplicación DataSymantec, este directorio es visible para todos, incluido el archivo de contraseñas de pcanywhere * .cif, hay un visor de contraseñas en la red, pero la versión 11.0 Incapaz de ver. Oh, actualízalo.