圖1 使用URLSnooper監(jiān)聽網(wǎng)站所有鏈接和訪問
說明:
(1)URLSnooper是一款安全檢查工具,就其名稱意義就知道該軟件是URL監(jiān)視,個人感覺是一款捕捉網(wǎng)站是否掛馬的好程序。URLSnooper安裝比較簡單,安裝完畢后需要安裝默認(rèn)的抓包軟件。
(2)確認(rèn)網(wǎng)站被人掛馬后,首先將網(wǎng)站文件進(jìn)行了備份。
直接到網(wǎng)站根目錄查看網(wǎng)站文件的最近的一些修改時間,從首頁更改的時間為8月25日,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件,如圖2所示,搜索出來好幾十個文件,被修改文件很有特點(diǎn),index.html、index.asp、conn.asp、top.asp、foot.asp以及js文件均被修改,從文件中可以看出該掛馬人絕對是一個團(tuán)伙或者是一個老手,他不是對所有文件進(jìn)行掛馬,而是有針對性的對一個關(guān)鍵文件進(jìn)行掛馬。
圖2 查找被修改的網(wǎng)站文件
2.清除掛馬代碼
將其清除。
(二)系統(tǒng)入侵痕跡搜索和整理
1.查看入侵者遺留在系統(tǒng)中的痕跡
對系統(tǒng)目錄以及服務(wù)器所有目錄進(jìn)行文件查看,發(fā)現(xiàn)該入侵者使用過"1433全自動掃描傳馬工具"。通過對該工具軟件的研究分析,該掃描工具中需要有配置文件,用來下載木馬。果不其然,在系統(tǒng)目錄下發(fā)現(xiàn)有一個文件cc1.txt生成日期是2008年5月29日,大小只有64個字節(jié),用type命令顯示如下:
該文件是FTP自動下載的配置信息,直接使用CuteFTP軟件進(jìn)行ftp登陸嘗試,填好IP地址和帳號密碼,順利登錄如圖3所示!從服務(wù)器上的東西不難看出,這臺機(jī)器的FTP路徑是Windows系統(tǒng)某個磁盤的根目錄,里面有不少黑客用的工具,機(jī)主肯定是一個入侵者或者安全愛好者。
圖3 成功登陸Ftp服務(wù)器
說明:
很多入侵者在利用網(wǎng)上下載的工具時,沒有很好地設(shè)置和改造,只是進(jìn)行簡單的配置后,便開始攻擊和入侵。因此,在肉機(jī)上經(jīng)常留下各種木馬的安裝文件,有時甚至還有FTP自動上傳文件的配置文件??梢允褂?quot;dir /od /a" 命令查看當(dāng)前目錄中的文件,如果存在小于100字節(jié)的文件,則這些文件極有可能為配置文件。
用掃描工具軟件查看以下該計(jì)算機(jī)開放哪些端口,如圖4所示,系統(tǒng)開放了80端口和遠(yuǎn)程終端服務(wù)3389端口。
(三)利用社會工程學(xué)進(jìn)行反滲透
1.使用獲取的Ftp賬號猜測服務(wù)登陸口令
既然在服務(wù)器上面開放了3389端口、Ftp服務(wù),那么可以嘗試?yán)肍TP的帳號和口令登錄它的3389遠(yuǎn)程桌面,猜測administrator的口令,結(jié)果不是gusdn,也不是lixuanxu,說明使用Ftp賬號和口令不能進(jìn)入系統(tǒng),換一個思路。
2.從網(wǎng)站入手
接下來,使用IE瀏覽器打開該IP地址,可以正常訪問網(wǎng)站,該服務(wù)提供了Web服務(wù),網(wǎng)站為游戲私服服務(wù)器,如圖5所示,通過HDSI以及Domain3.5等SQL注入工具對網(wǎng)站進(jìn)行了探測,未找到可以利用的地方。
圖5 服務(wù)器提供web服務(wù)
3.從Ftp目錄入手
猛然想起在FTP的目錄中有一個web子目錄,會不會與網(wǎng)站有關(guān)系呢?先上傳個asp木馬到web目錄試試。不試不知道,一試嚇一跳,這個目錄居然正是網(wǎng)站的根目錄, asp小馬可以正常運(yùn)行,如圖6所示,通過asp木馬在網(wǎng)站中看了看,發(fā)現(xiàn)可以瀏覽所有磁盤,不過只有D盤有寫權(quán)限。經(jīng)過與FTP中的文件進(jìn)行對比,F(xiàn)TP的根目錄也就是D盤。
圖6 上傳Asp木馬
好了,現(xiàn)在既可以上傳文件,也可以瀏覽文件。要想提升權(quán)限,還必須要能執(zhí)行命令。我上傳了一個asp的cmd木馬到web目錄,結(jié)果竟然不能執(zhí)行。繼續(xù)利用asp木馬在機(jī)器上找找其它的突破口,結(jié)果一無所獲。FTP不是用Serv-U開的,C盤不可寫,不能執(zhí)行命令,怎么辦?
4.上傳Asp.net木馬提升系統(tǒng)權(quán)限
忽然想起用3389登錄這臺機(jī)器時,它的操作系統(tǒng)是2003,可能支持asp.net,我為什么不上傳個aspx的CMD的木馬試試。說干就干。果然,aspx木馬能執(zhí)行命令了,如圖7所示。查看機(jī)器的用戶列表,居然沒有administrator卻有個xuanyu,而FTP的口令是lixuanyu,一定是管理員把超級用戶改名過來的。它的口令會是什么呢?還是用3389登錄器測試一番,不是gusdn,不是lixuanyu,更不是12345678,猜不出來了。
圖7 使用asp.net木馬查看系統(tǒng)管理員賬號
5.獲取數(shù)據(jù)庫用戶管理員密碼
按照密碼設(shè)置習(xí)慣,入侵者極有可能使用了相同密碼,因此可以嘗試獲取數(shù)據(jù)庫中用戶的密碼來登陸遠(yuǎn)程終端服務(wù)器。使用CuteFtp對整個網(wǎng)站目錄中的文件進(jìn)行查看,在TT目錄中發(fā)現(xiàn)數(shù)據(jù)庫文件"$_$%●yingzi★!#%&^$#.asa",使用FTP下載回來后,把文件的后綴改為mdb,使用access直接打開該數(shù)據(jù)庫,如圖8所示,從中找到管理員使用的表Gq_Admin。
如圖8所示,獲取管理員表Gq_Admin
從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶,并且是個高級管理員,他的密碼用MD5加密后是5334e6dd7b8exxxx。趕緊打開網(wǎng)頁www.cmd5.com,填好16位密碼,解密! Ok,不到1分鐘密碼出來了,12703XXX,如圖9所示。
圖9 獲取用戶的密碼
6.再次登陸遠(yuǎn)程終端
直接打開遠(yuǎn)程終端連接器,在其中輸入用戶名"xuanyu",密碼"12703XXX",然后單擊"連接",很快成功進(jìn)入該計(jì)算機(jī),如圖10所示。
圖10 成功進(jìn)入入侵者計(jì)算機(jī)服務(wù)器
7.查看入侵者服務(wù)器
使用systeminfo工具查看系統(tǒng)的詳細(xì)情況:
幾天后,這臺機(jī)器的FTP服務(wù)沒有了,網(wǎng)站也從122.138.14.8搬到了122.138.14.4,并且只能用域名www.sow2i.com來登錄了。不過,它們的3389還都是有的,而且兩臺機(jī)器的帳號和口令都是一樣的。這樣,成功滲透第二臺計(jì)算機(jī),在計(jì)算機(jī)上面給了一個警告,呵呵,當(dāng)然徹底的查看了該計(jì)算機(jī)上面的所有資料。
(四)總結(jié)
網(wǎng)絡(luò)安全與維護(hù)是攻擊與防護(hù)的對立統(tǒng)一,好的攻擊就是好的防護(hù),從掛馬的計(jì)算機(jī)中中獲取的痕跡,反過來滲透到入侵者的計(jì)算機(jī),也不是不可能的事情。回想反滲透入侵者的服務(wù)器過程中,突破口只是一個FTP口令,接下來從網(wǎng)頁木馬到數(shù)據(jù)庫下載,從MD5的管理員口令到主機(jī)用戶口令,最后實(shí)現(xiàn)了3389的遠(yuǎn)程桌面登錄。整個過程并沒有多少技術(shù)含量,就是因?yàn)槿肭终叩氖韬龃笠猓Y(jié)果被反滲透!因此在網(wǎng)絡(luò)管理與維護(hù)過程中,碰到問題不要害怕,仔細(xì)分析,合理利用每一個掌握的信息,極有可能發(fā)生意想不到的事情,讓我們在網(wǎng)絡(luò)維護(hù)過程中享受工作的樂趣。