圖1 使用URLSnooper監(jiān)聽網(wǎng)站所有鏈接和訪問
說明:
(1)URLSnooper是一款安全檢查工具�,就其名稱意義就知道該軟件是URL監(jiān)視�,個人感覺是一款捕捉網(wǎng)站是否掛馬的好程序�。URLSnooper安裝比較簡單��,安裝完畢后需要安裝默認(rèn)的抓包軟件���。
(2)確認(rèn)網(wǎng)站被人掛馬后,首先將網(wǎng)站文件進(jìn)行了備份��。
直接到網(wǎng)站根目錄查看網(wǎng)站文件的最近的一些修改時間���,從首頁更改的時間為8月25日�����,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件��,如圖2所示�,搜索出來好幾十個文件����,被修改文件很有特點(diǎn)�,index.html��、index.asp�、conn.asp���、top.asp���、foot.asp以及js文件均被修改,從文件中可以看出該掛馬人絕對是一個團(tuán)伙或者是一個老手����,他不是對所有文件進(jìn)行掛馬,而是有針對性的對一個關(guān)鍵文件進(jìn)行掛馬����。
圖2 查找被修改的網(wǎng)站文件
2.清除掛馬代碼
將其清除。
(二)系統(tǒng)入侵痕跡搜索和整理
1.查看入侵者遺留在系統(tǒng)中的痕跡
對系統(tǒng)目錄以及服務(wù)器所有目錄進(jìn)行文件查看��,發(fā)現(xiàn)該入侵者使用過"1433全自動掃描傳馬工具"���。通過對該工具軟件的研究分析���,該掃描工具中需要有配置文件,用來下載木馬��。果不其然,在系統(tǒng)目錄下發(fā)現(xiàn)有一個文件cc1.txt生成日期是2008年5月29日���,大小只有64個字節(jié)�����,用type命令顯示如下:
該文件是FTP自動下載的配置信息�����,直接使用CuteFTP軟件進(jìn)行ftp登陸嘗試�,填好IP地址和帳號密碼��,順利登錄如圖3所示����!從服務(wù)器上的東西不難看出,這臺機(jī)器的FTP路徑是Windows系統(tǒng)某個磁盤的根目錄���,里面有不少黑客用的工具�����,機(jī)主肯定是一個入侵者或者安全愛好者�。
圖3 成功登陸Ftp服務(wù)器
說明:
很多入侵者在利用網(wǎng)上下載的工具時,沒有很好地設(shè)置和改造���,只是進(jìn)行簡單的配置后,便開始攻擊和入侵�����。因此���,在肉機(jī)上經(jīng)常留下各種木馬的安裝文件��,有時甚至還有FTP自動上傳文件的配置文件��?��?梢允褂?quot;dir /od /a" 命令查看當(dāng)前目錄中的文件,如果存在小于100字節(jié)的文件����,則這些文件極有可能為配置文件。
用掃描工具軟件查看以下該計(jì)算機(jī)開放哪些端口�,如圖4所示,系統(tǒng)開放了80端口和遠(yuǎn)程終端服務(wù)3389端口��。
(三)利用社會工程學(xué)進(jìn)行反滲透
1.使用獲取的Ftp賬號猜測服務(wù)登陸口令
既然在服務(wù)器上面開放了3389端口、Ftp服務(wù)�,那么可以嘗試?yán)肍TP的帳號和口令登錄它的3389遠(yuǎn)程桌面,猜測administrator的口令���,結(jié)果不是gusdn����,也不是lixuanxu����,說明使用Ftp賬號和口令不能進(jìn)入系統(tǒng),換一個思路���。
2.從網(wǎng)站入手
接下來���,使用IE瀏覽器打開該IP地址,可以正常訪問網(wǎng)站����,該服務(wù)提供了Web服務(wù),網(wǎng)站為游戲私服服務(wù)器�����,如圖5所示,通過HDSI以及Domain3.5等SQL注入工具對網(wǎng)站進(jìn)行了探測����,未找到可以利用的地方。
圖5 服務(wù)器提供web服務(wù)
3.從Ftp目錄入手
猛然想起在FTP的目錄中有一個web子目錄��,會不會與網(wǎng)站有關(guān)系呢���?先上傳個asp木馬到web目錄試試。不試不知道���,一試嚇一跳���,這個目錄居然正是網(wǎng)站的根目錄, asp小馬可以正常運(yùn)行��,如圖6所示��,通過asp木馬在網(wǎng)站中看了看��,發(fā)現(xiàn)可以瀏覽所有磁盤���,不過只有D盤有寫權(quán)限�。經(jīng)過與FTP中的文件進(jìn)行對比,F(xiàn)TP的根目錄也就是D盤�����。
圖6 上傳Asp木馬
好了�����,現(xiàn)在既可以上傳文件��,也可以瀏覽文件��。要想提升權(quán)限��,還必須要能執(zhí)行命令���。我上傳了一個asp的cmd木馬到web目錄�����,結(jié)果竟然不能執(zhí)行���。繼續(xù)利用asp木馬在機(jī)器上找找其它的突破口���,結(jié)果一無所獲。FTP不是用Serv-U開的�,C盤不可寫,不能執(zhí)行命令��,怎么辦����?
4.上傳Asp.net木馬提升系統(tǒng)權(quán)限
忽然想起用3389登錄這臺機(jī)器時,它的操作系統(tǒng)是2003�,可能支持asp.net����,我為什么不上傳個aspx的CMD的木馬試試。說干就干����。果然,aspx木馬能執(zhí)行命令了���,如圖7所示�。查看機(jī)器的用戶列表����,居然沒有administrator卻有個xuanyu�,而FTP的口令是lixuanyu�,一定是管理員把超級用戶改名過來的。它的口令會是什么呢�����?還是用3389登錄器測試一番����,不是gusdn,不是lixuanyu���,更不是12345678�,猜不出來了���。
圖7 使用asp.net木馬查看系統(tǒng)管理員賬號
5.獲取數(shù)據(jù)庫用戶管理員密碼
按照密碼設(shè)置習(xí)慣�����,入侵者極有可能使用了相同密碼�����,因此可以嘗試獲取數(shù)據(jù)庫中用戶的密碼來登陸遠(yuǎn)程終端服務(wù)器�。使用CuteFtp對整個網(wǎng)站目錄中的文件進(jìn)行查看,在TT目錄中發(fā)現(xiàn)數(shù)據(jù)庫文件"$_$%●yingzi★!#%&^$#.asa"���,使用FTP下載回來后����,把文件的后綴改為mdb�,使用access直接打開該數(shù)據(jù)庫,如圖8所示��,從中找到管理員使用的表Gq_Admin���。
如圖8所示,獲取管理員表Gq_Admin
從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶����,并且是個高級管理員,他的密碼用MD5加密后是5334e6dd7b8exxxx���。趕緊打開網(wǎng)頁www.cmd5.com����,填好16位密碼,解密�! Ok,不到1分鐘密碼出來了�����,12703XXX�,如圖9所示。
圖9 獲取用戶的密碼
6.再次登陸遠(yuǎn)程終端
直接打開遠(yuǎn)程終端連接器����,在其中輸入用戶名"xuanyu",密碼"12703XXX"����,然后單擊"連接",很快成功進(jìn)入該計(jì)算機(jī)���,如圖10所示��。
圖10 成功進(jìn)入入侵者計(jì)算機(jī)服務(wù)器
7.查看入侵者服務(wù)器
使用systeminfo工具查看系統(tǒng)的詳細(xì)情況:
幾天后���,這臺機(jī)器的FTP服務(wù)沒有了,網(wǎng)站也從122.138.14.8搬到了122.138.14.4����,并且只能用域名www.sow2i.com來登錄了�����。不過����,它們的3389還都是有的���,而且兩臺機(jī)器的帳號和口令都是一樣的�����。這樣���,成功滲透第二臺計(jì)算機(jī),在計(jì)算機(jī)上面給了一個警告��,呵呵����,當(dāng)然徹底的查看了該計(jì)算機(jī)上面的所有資料��。
(四)總結(jié)
網(wǎng)絡(luò)安全與維護(hù)是攻擊與防護(hù)的對立統(tǒng)一,好的攻擊就是好的防護(hù)��,從掛馬的計(jì)算機(jī)中中獲取的痕跡�����,反過來滲透到入侵者的計(jì)算機(jī)��,也不是不可能的事情�。回想反滲透入侵者的服務(wù)器過程中�����,突破口只是一個FTP口令����,接下來從網(wǎng)頁木馬到數(shù)據(jù)庫下載,從MD5的管理員口令到主機(jī)用戶口令�,最后實(shí)現(xiàn)了3389的遠(yuǎn)程桌面登錄。整個過程并沒有多少技術(shù)含量�,就是因?yàn)槿肭终叩氖韬龃笠猓Y(jié)果被反滲透�����!因此在網(wǎng)絡(luò)管理與維護(hù)過程中,碰到問題不要害怕����,仔細(xì)分析,合理利用每一個掌握的信息���,極有可能發(fā)生意想不到的事情���,讓我們在網(wǎng)絡(luò)維護(hù)過程中享受工作的樂趣。
