|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 正文:剛剛當(dāng)上學(xué)校某站的系統(tǒng)管理員,負(fù)責(zé)3臺(tái)主機(jī),先檢查一下,發(fā)現(xiàn)一臺(tái)主機(jī)skin目錄下有可疑文件存在。呵呵,剛上崗就發(fā)現(xiàn)問題,嘻嘻,好好表現(xiàn)。 可以肯定,此主機(jī)被入侵。 操作: 1 系統(tǒng)采用2003+iis6.0 ,NTFS分區(qū)格式,權(quán)限設(shè)置正常。Pcanywhere10.0遠(yuǎn)程管理。頁面采用動(dòng)力文章系統(tǒng),版本3.51修改。 掛接另一網(wǎng)站,采用動(dòng)網(wǎng)修改版。 2 測(cè)試發(fā)現(xiàn),前管理員未注意web安全。動(dòng)力文章有嚴(yán)重上傳漏洞,而未修補(bǔ)。動(dòng)網(wǎng)版本7.00sp2 ,但不排除已被入侵。隨即,徹底檢查系統(tǒng),未發(fā)現(xiàn)木馬。確定主機(jī)系統(tǒng)安全。但在web里發(fā)現(xiàn)大量webshell,待清除。Iis6.0 無日志記錄! 3 檢查修復(fù) ( 備份當(dāng)前web系統(tǒng)。) A 時(shí)間查找法:根據(jù)上述文件的最早創(chuàng)建時(shí)間,搜索此時(shí)間以后創(chuàng)建和修改的所有文件。又發(fā)現(xiàn)許多未知gif,jpg,asp,cer等格式文件。用記事本打開發(fā)現(xiàn),俱為asp木馬。備份,刪除。 B 工具查找法:在手動(dòng)查找之后,安裝殺毒軟件,全面殺毒,除殺出少部分asp木馬,未有其他發(fā)現(xiàn)。檢查用戶,無異常。檢查C盤,無不明文件。說明,入侵者在獲得web權(quán)限后未進(jìn)一步提升權(quán)限,但不排除安裝更隱蔽的木馬。待查。 C 根據(jù)時(shí)間查找法,發(fā)現(xiàn)正常asp文件有些已被修改。其中,動(dòng)力文章系統(tǒng)管理頁面被插入代碼,將管理員密碼明文保存。代碼與動(dòng)網(wǎng)論壇明文獲取密碼代碼類似。 在其他被修改的asp文件中,發(fā)現(xiàn)有動(dòng)鯊網(wǎng)頁木馬,icefox的一句話木馬,海洋木馬等,均加密處理。 D 修復(fù);備份此web系統(tǒng),提取數(shù)據(jù)庫(kù)。刪除!還原數(shù)月前備份之系統(tǒng),檢查,無木馬!導(dǎo)入現(xiàn)在的數(shù)據(jù)庫(kù)。刪除動(dòng)力文章上傳軟件的asp文件,加入防注入代碼。修改所有web管理員密碼,修改所有系統(tǒng)管理員密碼. 升級(jí)pcanywhere 到11.0 修改pcanywhere 的密碼并限制ip。打開iis6.0日志記錄。由于掛接的網(wǎng)站,長(zhǎng)期未更新,web管理員無法聯(lián)絡(luò),更改路徑,去除連接,備用! 分析: 由于主機(jī)權(quán)限設(shè)置問題,入侵者可能無法提升權(quán)限。(可能已經(jīng)獲得pcanywhere 密碼,但主機(jī)長(zhǎng)期保持鎖定狀態(tài)。據(jù)估計(jì)是入侵者技術(shù)尚淺。)由他所留文件分析。在獲得webshell的情況下,他上傳cmd文件,但權(quán)限設(shè)置較好,估計(jì)為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件,想開服務(wù)器3389端口。但還是由于權(quán)限問題,無法提升。Ps:一臺(tái)主機(jī)如果安裝pcanywhere ,將無法開啟3389服務(wù),其主要文件被pcanywhere替換。開啟不了。其他文件為察看進(jìn)程,安裝服務(wù)等工具,估計(jì)在未獲得更高權(quán)限的情況下,得到的信息不足以獲取管理員權(quán)限。唯一注意的是,pcanywhere的密碼文件,是everyone可以察看的,在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見,其中有pcanywhere的密碼文件*.cif ,網(wǎng)上有密碼察看器,但11.0版本無法察看。呵呵,升級(jí)一下吧。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購(gòu)買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
