专业虚拟主机提供商! 正规合法诚信公司、拥有ICP/ISP双经营许可证
域名空间实时开通立即使用,几分钟即可完成
安全方便的网上支付,超强的域名空间管理程序
我要购买空间,请点这里
我要注册域名,请点这里
我要建设网站,请点这里
我要续费域名,请点这里
我要续费空间,请点这里
我要在线支付,请点这里
首 页 特惠套餐 域名注册 虚拟主机 托管租用 FTP空间 数据库 企业邮局 网站建设 联系我们 付款方式
 | 网站首页 | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 | 
您现在的位置: IDC资讯网 >> 系统安全 >> 正文
最新推荐  更多内容
最新热门  更多内容
  • 没有热点文章
  • 实例讲解网站被入侵后需做的检测           ★★★
    实例讲解网站被入侵后需做的检测
    点击数: 更新时间:2009-8-6 21:18:59
    先分析入侵者都做了些什么!
     

    记得为了方便在他机器上装了RADMIN,登录了一下,密码也不对了,看来是有人上去了,而且入侵者还拿到了系统管理员权限。
     

    跑到机房,拿出ERD COMMANDER,改了密码,重启,进入系统后第一步升级帐户,多了一个hud$的用户,administrators组,删除,再看guest用户虽然禁用状态,但是说明内容不对了。仔细一看,administrators组,同样删除。接着看了下其他用户,组别都正常,把远程连接权限都去掉后,帐号方面算是处理完了。
     

    接着看看各个硬盘C:\下面有如下文件
     

      sqlhello.exe
     

      sqlhello2.exe
     
     
     
      result.txt
     

      1.bat
     

      2.bat
     

    编辑了下1.bat,里面内容都是扫描整个网段。看来是有人拿这台机器当跳板了,移动所有文件到其他目录。
     

    接着审计应用程序,考虑这台机器的用途和环境。是WINDOWS2000+IIS+SERV-U 。
     

    先看SERV-U审计用户,看看有没有别人加system权限的FTP用户,查看下来没有。
     

    执行权限也没有,锁定目录状态都是对的。
     

    看了下没有记录日志。
     

    然后看了版本。5.0.0.4...ft了,早让他升级,就是不升,看来是被入侵的第一步,先升级到6.0.0.2 ,FTP这里应该没什么问题了。
     

    IIS方面的分析:
     

    开着日志记录,太好了,等会儿分析日志
     

    继续看,其他都是默认配置,先在应用程序映射里把所有的文件类型都删除干净只保留.ASP和.ASA
     

    审计文件权限
     

    设定各个分区和目录的权限。
     

    接着审查木马情况,由于系统不能重装,所以只能加固原有已经被入侵的系统,考虑到这个入侵者添加的用户的情况以及在C根目录放文件还有日志都是开放等等情况,估计水平不会很高,也不会植入自己编写的木马。
     

    使用了朋友thrkdev编的ATE来查了一遍,看来没有已知木马。
     

    接着查找WEBSHELL,考虑到入侵者水平,最多也就用用海阳,而且最多也就把部分版权信息去掉,搜索所有内容包含lcx的.ASP文件。
     

    果然,4个文件。
     

        2005.asp
     

        ok.asp
     

        dvbbs7.asp
     

        aki.asp
     

    看来分析还是比较准确的,除了dvbbs7.asp有点创意,移动这些文件到其他目录,供以后审计用。
     

    然后是网络部分
     

    TCP过滤未开,IPSEC未指派。
     

    先把NETBIOS关掉,然后TCP内只允许20,21,80,3389
     

    考虑到反向木马的可能性
     

    在IPSEC内打开本机SPORT 20,21,80,3389到外部任意端口,其他从内部往外的一律屏蔽。
     

    系统萃取,把一些无关服务与软件关闭或者卸载。
     

    对系统进行补丁升级,还好补丁还是没有缺,把自动UPDATE设置到自动安装。
     
    最后一步是分析日志,看看有没有遗漏的地方,系统本身的日志都被关闭了。看来入侵者还是比较小心。
     

    打开该审计的部分,在关键目录,比如系统目录加上了审计,使得所有对C:\WINNT的创建文件的成功与失败都记录在日志内。
     

    由于前面提到SERV-U日志原来并未记录,只能打开IIS日志查找对于找到的4个WEBSHELL的访问情况,找到了访问的IP,回查,来自一个固定IP地址,浏览了一下,得到信息后给对方管理员去邮件通知他们做好安全工作。
     

    其实还有一些部分内容应该做而限于有些条件没有做的。
     

    1.更换系统默认用户用户名
     

    因为兄弟他们对计算机不熟,就没有更换,不过要求他们使用更加强壮的密码了
     

    2.对于加密的webshell的查找
     

    上述内容中对于WEBSHELL只查找了一种,并且只针对明文编码的页面程序进行了查找,应该是可以加入对于编码后ASP WEBSHELL的搜索。
     

    还有搜索内容应该由简单的LCX扩展到wscript.shell等更加广泛与匹配的关键词的查找
     

    3.对于木马的查找
     

    由于预估入侵者水平不高,所以这项只依靠杀木马软件进行了搜索,如果有时间的话,还是应该手工进行查找
     

    4.对页面程序进行评估
     

    也有由于时间关系,没时间对原有网站程序进行检查。
     

    5.入侵测试
     

    由于入侵检测很可能被入侵者的思路带着走而忽略了其他薄弱环节,所以检测完毕应该最好进行完全的测试,保证其他路径是同样强壮的。(

    以上内容均来自网络,由 稳速网络 搜集整理,如有侵权请联系我们立即删除,如转载请注明原文出处,并保留以下内容。
        [稳速网络] http://www.765.com.cnhttp://www.wsu.cn 是深圳市稳速网络科技有限公司的网络服务品牌,专业经营域名注册虚拟主机网站建设服务器租用托管等业务。经过多年的高速发展,“稳速网络”已经成为我国一家知名的互联网服务提供商。
    文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    资讯中心首页
    | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 |
    关于我们 | 联系我们 | 产品价格 | 代理加盟 | 咨询反馈 | 诚聘英才 | 在线对话系统 | ASP技术网 | 帮助中心 | 网站地图
    ICP/ISP证B2-20050322
    ICP/ISP经营许可证编号:粤ICP证B2-20050322 网站备案号:粤B2-20050322号
    客服热线:0755-26499456 0755-26499435 [共8线] 24小时值班:0755-21852765 [更多]
    客服QQ:
    [ 63103 ]
    [ 959260 ]
    代理咨询:
    [ 519065 ]
    [更多]
    客户服务中心:深圳市南山区桃园路前海金岸金丰阁706  邮编:518052
    本站推广词:动态空间 | 网站空间 | 虚拟主机 | 深圳网站建设 | 空间购买 | 域名空间 | ASP空间申请购买
    服务范围:广州·深圳·东莞·珠海·汕头·惠州·中山·佛山·上海·重庆等全国其它地区
    广东省深圳市稳速网络科技有限公司版权所有 严禁以任何形式进行复制、抄袭