圖1 使用URLSnooper監(jiān)聽網(wǎng)站所有鏈接和訪問
說明:
(1)URLSnooper是一款安全檢查工具�,就其名稱意義就知道該軟件是URL監(jiān)視,個(gè)人感覺是一款捕捉網(wǎng)站是否掛馬的好程序����。URLSnooper安裝比較簡(jiǎn)單,安裝完畢后需要安裝默認(rèn)的抓包軟件��。
(2)確認(rèn)網(wǎng)站被人掛馬后���,首先將網(wǎng)站文件進(jìn)行了備份�。
直接到網(wǎng)站根目錄查看網(wǎng)站文件的最近的一些修改時(shí)間��,從首頁更改的時(shí)間為8月25日,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件�����,如圖2所示����,搜索出來好幾十個(gè)文件,被修改文件很有特點(diǎn)�,index.html、index.asp����、conn.asp、top.asp�����、foot.asp以及js文件均被修改�����,從文件中可以看出該掛馬人絕對(duì)是一個(gè)團(tuán)伙或者是一個(gè)老手��,他不是對(duì)所有文件進(jìn)行掛馬����,而是有針對(duì)性的對(duì)一個(gè)關(guān)鍵文件進(jìn)行掛馬。
圖2 查找被修改的網(wǎng)站文件
2.清除掛馬代碼
將其清除���。
(二)系統(tǒng)入侵痕跡搜索和整理
1.查看入侵者遺留在系統(tǒng)中的痕跡
對(duì)系統(tǒng)目錄以及服務(wù)器所有目錄進(jìn)行文件查看����,發(fā)現(xiàn)該入侵者使用過"1433全自動(dòng)掃描傳馬工具"�����。通過對(duì)該工具軟件的研究分析�����,該掃描工具中需要有配置文件�����,用來下載木馬���。果不其然��,在系統(tǒng)目錄下發(fā)現(xiàn)有一個(gè)文件cc1.txt生成日期是2008年5月29日��,大小只有64個(gè)字節(jié)���,用type命令顯示如下:
該文件是FTP自動(dòng)下載的配置信息����,直接使用CuteFTP軟件進(jìn)行ftp登陸嘗試���,填好IP地址和帳號(hào)密碼�����,順利登錄如圖3所示�����!從服務(wù)器上的東西不難看出����,這臺(tái)機(jī)器的FTP路徑是Windows系統(tǒng)某個(gè)磁盤的根目錄����,里面有不少黑客用的工具,機(jī)主肯定是一個(gè)入侵者或者安全愛好者�。
圖3 成功登陸Ftp服務(wù)器
說明:
很多入侵者在利用網(wǎng)上下載的工具時(shí),沒有很好地設(shè)置和改造���,只是進(jìn)行簡(jiǎn)單的配置后�����,便開始攻擊和入侵�。因此��,在肉機(jī)上經(jīng)常留下各種木馬的安裝文件����,有時(shí)甚至還有FTP自動(dòng)上傳文件的配置文件?���?梢允褂?quot;dir /od /a" 命令查看當(dāng)前目錄中的文件,如果存在小于100字節(jié)的文件����,則這些文件極有可能為配置文件。
用掃描工具軟件查看以下該計(jì)算機(jī)開放哪些端口�,如圖4所示,系統(tǒng)開放了80端口和遠(yuǎn)程終端服務(wù)3389端口��。
(三)利用社會(huì)工程學(xué)進(jìn)行反滲透
1.使用獲取的Ftp賬號(hào)猜測(cè)服務(wù)登陸口令
既然在服務(wù)器上面開放了3389端口、Ftp服務(wù)���,那么可以嘗試?yán)肍TP的帳號(hào)和口令登錄它的3389遠(yuǎn)程桌面�����,猜測(cè)administrator的口令�����,結(jié)果不是gusdn��,也不是lixuanxu����,說明使用Ftp賬號(hào)和口令不能進(jìn)入系統(tǒng)�����,換一個(gè)思路���。
2.從網(wǎng)站入手
接下來��,使用IE瀏覽器打開該IP地址�,可以正常訪問網(wǎng)站,該服務(wù)提供了Web服務(wù)��,網(wǎng)站為游戲私服服務(wù)器��,如圖5所示�����,通過HDSI以及Domain3.5等SQL注入工具對(duì)網(wǎng)站進(jìn)行了探測(cè)��,未找到可以利用的地方��。
圖5 服務(wù)器提供web服務(wù)
3.從Ftp目錄入手
猛然想起在FTP的目錄中有一個(gè)web子目錄����,會(huì)不會(huì)與網(wǎng)站有關(guān)系呢����?先上傳個(gè)asp木馬到web目錄試試。不試不知道���,一試嚇一跳���,這個(gè)目錄居然正是網(wǎng)站的根目錄��, asp小馬可以正常運(yùn)行��,如圖6所示�,通過asp木馬在網(wǎng)站中看了看�����,發(fā)現(xiàn)可以瀏覽所有磁盤�����,不過只有D盤有寫權(quán)限���。經(jīng)過與FTP中的文件進(jìn)行對(duì)比���,F(xiàn)TP的根目錄也就是D盤。
圖6 上傳Asp木馬
好了���,現(xiàn)在既可以上傳文件�����,也可以瀏覽文件�����。要想提升權(quán)限��,還必須要能執(zhí)行命令�。我上傳了一個(gè)asp的cmd木馬到web目錄,結(jié)果竟然不能執(zhí)行���。繼續(xù)利用asp木馬在機(jī)器上找找其它的突破口,結(jié)果一無所獲�����。FTP不是用Serv-U開的��,C盤不可寫�����,不能執(zhí)行命令����,怎么辦?
4.上傳Asp.net木馬提升系統(tǒng)權(quán)限
忽然想起用3389登錄這臺(tái)機(jī)器時(shí),它的操作系統(tǒng)是2003�,可能支持asp.net,我為什么不上傳個(gè)aspx的CMD的木馬試試���。說干就干�。果然�,aspx木馬能執(zhí)行命令了,如圖7所示����。查看機(jī)器的用戶列表,居然沒有administrator卻有個(gè)xuanyu�����,而FTP的口令是lixuanyu�����,一定是管理員把超級(jí)用戶改名過來的��。它的口令會(huì)是什么呢�?還是用3389登錄器測(cè)試一番,不是gusdn���,不是lixuanyu����,更不是12345678,猜不出來了�����。
圖7 使用asp.net木馬查看系統(tǒng)管理員賬號(hào)
5.獲取數(shù)據(jù)庫用戶管理員密碼
按照密碼設(shè)置習(xí)慣�����,入侵者極有可能使用了相同密碼����,因此可以嘗試獲取數(shù)據(jù)庫中用戶的密碼來登陸遠(yuǎn)程終端服務(wù)器���。使用CuteFtp對(duì)整個(gè)網(wǎng)站目錄中的文件進(jìn)行查看��,在TT目錄中發(fā)現(xiàn)數(shù)據(jù)庫文件"$_$%●yingzi★!#%&^$#.asa"���,使用FTP下載回來后,把文件的后綴改為mdb�����,使用access直接打開該數(shù)據(jù)庫,如圖8所示�,從中找到管理員使用的表Gq_Admin。
如圖8所示����,獲取管理員表Gq_Admin
從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶,并且是個(gè)高級(jí)管理員�����,他的密碼用MD5加密后是5334e6dd7b8exxxx���。趕緊打開網(wǎng)頁www.cmd5.com�,填好16位密碼����,解密! Ok��,不到1分鐘密碼出來了�,12703XXX,如圖9所示�。
圖9 獲取用戶的密碼
6.再次登陸遠(yuǎn)程終端
直接打開遠(yuǎn)程終端連接器�����,在其中輸入用戶名"xuanyu"�,密碼"12703XXX"����,然后單擊"連接",很快成功進(jìn)入該計(jì)算機(jī)�,如圖10所示。
圖10 成功進(jìn)入入侵者計(jì)算機(jī)服務(wù)器
7.查看入侵者服務(wù)器
使用systeminfo工具查看系統(tǒng)的詳細(xì)情況:
幾天后��,這臺(tái)機(jī)器的FTP服務(wù)沒有了�,網(wǎng)站也從122.138.14.8搬到了122.138.14.4,并且只能用域名www.sow2i.com來登錄了�����。不過����,它們的3389還都是有的,而且兩臺(tái)機(jī)器的帳號(hào)和口令都是一樣的���。這樣���,成功滲透第二臺(tái)計(jì)算機(jī)���,在計(jì)算機(jī)上面給了一個(gè)警告���,呵呵,當(dāng)然徹底的查看了該計(jì)算機(jī)上面的所有資料�����。
(四)總結(jié)
網(wǎng)絡(luò)安全與維護(hù)是攻擊與防護(hù)的對(duì)立統(tǒng)一�,好的攻擊就是好的防護(hù),從掛馬的計(jì)算機(jī)中中獲取的痕跡�����,反過來滲透到入侵者的計(jì)算機(jī)�,也不是不可能的事情��。回想反滲透入侵者的服務(wù)器過程中����,突破口只是一個(gè)FTP口令,接下來從網(wǎng)頁木馬到數(shù)據(jù)庫下載��,從MD5的管理員口令到主機(jī)用戶口令�,最后實(shí)現(xiàn)了3389的遠(yuǎn)程桌面登錄。整個(gè)過程并沒有多少技術(shù)含量����,就是因?yàn)槿肭终叩氖韬龃笠猓Y(jié)果被反滲透����!因此在網(wǎng)絡(luò)管理與維護(hù)過程中,碰到問題不要害怕����,仔細(xì)分析,合理利用每一個(gè)掌握的信息�����,極有可能發(fā)生意想不到的事情,讓我們?cè)诰W(wǎng)絡(luò)維護(hù)過程中享受工作的樂趣�。
