|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 正文:剛剛當上學校某站的系統管理員,負責3臺主機,先檢查一下,發現一臺主機skin目錄下有可疑文件存在。呵呵,剛上崗就發現問題,嘻嘻,好好表現。 可以肯定,此主機被入侵。 操作: 1 系統采用2003+iis6.0 ,NTFS分區格式,權限設置正常。Pcanywhere10.0遠程管理。頁面采用動力文章系統,版本3.51修改。 掛接另一網站,采用動網修改版。 2 測試發現,前管理員未注意web安全。動力文章有嚴重上傳漏洞,而未修補。動網版本7.00sp2 ,但不排除已被入侵。隨即,徹底檢查系統,未發現木馬。確定主機系統安全。但在web里發現大量webshell,待清除。Iis6.0 無日志記錄! 3 檢查修復 ( 備份當前web系統。) A 時間查找法:根據上述文件的最早創建時間,搜索此時間以后創建和修改的所有文件。又發現許多未知gif,jpg,asp,cer等格式文件。用記事本打開發現,俱為asp木馬。備份,刪除。 B 工具查找法:在手動查找之后,安裝殺毒軟件,全面殺毒,除殺出少部分asp木馬,未有其他發現。檢查用戶,無異常。檢查C盤,無不明文件。說明,入侵者在獲得web權限后未進一步提升權限,但不排除安裝更隱蔽的木馬。待查。 C 根據時間查找法,發現正常asp文件有些已被修改。其中,動力文章系統管理頁面被插入代碼,將管理員密碼明文保存。代碼與動網論壇明文獲取密碼代碼類似。 在其他被修改的asp文件中,發現有動鯊網頁木馬,icefox的一句話木馬,海洋木馬等,均加密處理。 D 修復;備份此web系統,提取數據庫。刪除!還原數月前備份之系統,檢查,無木馬!導入現在的數據庫。刪除動力文章上傳軟件的asp文件,加入防注入代碼。修改所有web管理員密碼,修改所有系統管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼并限制ip。打開iis6.0日志記錄。由于掛接的網站,長期未更新,web管理員無法聯絡,更改路徑,去除連接,備用! 分析: 由于主機權限設置問題,入侵者可能無法提升權限。(可能已經獲得pcanywhere 密碼,但主機長期保持鎖定狀態。據估計是入侵者技術尚淺。)由他所留文件分析。在獲得webshell的情況下,他上傳cmd文件,但權限設置較好,估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件,想開服務器3389端口。但還是由于權限問題,無法提升。Ps:一臺主機如果安裝pcanywhere ,將無法開啟3389服務,其主要文件被pcanywhere替換。開啟不了。其他文件為察看進程,安裝服務等工具,估計在未獲得更高權限的情況下,得到的信息不足以獲取管理員權限。唯一注意的是,pcanywhere的密碼文件,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見,其中有pcanywhere的密碼文件*.cif ,網上有密碼察看器,但11.0版本無法察看。呵呵,升級一下吧。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
