作者:田逸(
[email]sery@163.com[/email]
)
发表在《网管员世界》04年第7期69页 题目改为“反黑手记”
前几天为了测试某一个机构的域名解析是否可用,我就在一台邮件服务器上起用了iis,
并为此机构创建了域名,放了一个简单的html页面文件做测试。可是今天早上我收电子邮
件(用foxmail 4.2),一直收不了,我以为是有超大邮件,于是就用web 方式直接登录邮
件服务器收取,也是老半天才进入。第一个判断是邮件服务器有麻烦了。
服务器的配置是 win2k server + sp4 ,并且更新了microsoft各种补丁, 病毒防范软件为
symantec norton 8.0 server版,邮件服务器程序自身以有防病毒的插件,这两个东西已经平
稳地运行了一年多,抵挡了无数的附件病毒的袭击。那么服务器则可能被黑了。
症状:运行程序慢如蜗牛,在任务管理器里发现cpu的利用率为100%,里面运行了一个未知进程gt.exe,占据了大约25mb的内存,而且更可恶的是这个进程还杀不了它。看来是有人把木马植入
服务器了。再看看用户,好家伙,居然有一个cclogin的用户,而且被加在管理员组里了。
到系统盘下查一下,根目录下有一执行程序sbg.exe(后用杀毒软件查出是病毒),system32
下有gt.exe。上面说得凌乱,总结一下:1、通过iis漏洞植入木马程序,然后取得管理员
权限,复制文件在服务器的系统目录里。2、启动系统服务里的被我以前禁用的远程注册表
编辑功能。3、在注册表 hkey_local_machine\software\microsoft\windows\currentverssi 和
rubservice 加入字串 hi here 其值为point32.exe.(实际上是gt.exe).4、启动计划任务,当
然是运行gt.exe,时间定在2004-3-10 0:19。(可能这家伙是在11点50左右crack成功的,
后来我看日志也证实了这个时间)。
处理:1、启动系统进入安全模式,删除gt.exe和sbg.exe.2、删除计划任务里的黑客
起用的at1.job,然后禁止计划任务。3、从系统里删除用户cclogon。4、在控制台里关闭不必
要的服务(把自动改为禁止,并且停止该服务[如远程注册表编辑])。5、编辑注册表,删除
run 和runservices 里的异常项point32.exe。6、停止iis服务。7、重启计算机进入正常模式,
问题解决。查看日志文件 logfils 看了一些,但ip都是变化的,说明这家伙是用adsl上
网,用的是 [url]http://ip/ida[/url] 获取了权限,不过该人水平不是太高,没有删除日志文件,他(她)可能的目的是想找一台“肉鸡”。一不小心,开了个iis,就让人黑了,看来不能掉以轻心。
发表在《网管员世界》04年第7期69页 题目改为“反黑手记”
前几天为了测试某一个机构的域名解析是否可用,我就在一台邮件服务器上起用了iis,
并为此机构创建了域名,放了一个简单的html页面文件做测试。可是今天早上我收电子邮
件(用foxmail 4.2),一直收不了,我以为是有超大邮件,于是就用web 方式直接登录邮
件服务器收取,也是老半天才进入。第一个判断是邮件服务器有麻烦了。
服务器的配置是 win2k server + sp4 ,并且更新了microsoft各种补丁, 病毒防范软件为
symantec norton 8.0 server版,邮件服务器程序自身以有防病毒的插件,这两个东西已经平
稳地运行了一年多,抵挡了无数的附件病毒的袭击。那么服务器则可能被黑了。
症状:运行程序慢如蜗牛,在任务管理器里发现cpu的利用率为100%,里面运行了一个未知进程gt.exe,占据了大约25mb的内存,而且更可恶的是这个进程还杀不了它。看来是有人把木马植入
服务器了。再看看用户,好家伙,居然有一个cclogin的用户,而且被加在管理员组里了。
到系统盘下查一下,根目录下有一执行程序sbg.exe(后用杀毒软件查出是病毒),system32
下有gt.exe。上面说得凌乱,总结一下:1、通过iis漏洞植入木马程序,然后取得管理员
权限,复制文件在服务器的系统目录里。2、启动系统服务里的被我以前禁用的远程注册表
编辑功能。3、在注册表 hkey_local_machine\software\microsoft\windows\currentverssi 和
rubservice 加入字串 hi here 其值为point32.exe.(实际上是gt.exe).4、启动计划任务,当
然是运行gt.exe,时间定在2004-3-10 0:19。(可能这家伙是在11点50左右crack成功的,
后来我看日志也证实了这个时间)。
处理:1、启动系统进入安全模式,删除gt.exe和sbg.exe.2、删除计划任务里的黑客
起用的at1.job,然后禁止计划任务。3、从系统里删除用户cclogon。4、在控制台里关闭不必
要的服务(把自动改为禁止,并且停止该服务[如远程注册表编辑])。5、编辑注册表,删除
run 和runservices 里的异常项point32.exe。6、停止iis服务。7、重启计算机进入正常模式,
问题解决。查看日志文件 logfils 看了一些,但ip都是变化的,说明这家伙是用adsl上
网,用的是 [url]http://ip/ida[/url] 获取了权限,不过该人水平不是太高,没有删除日志文件,他(她)可能的目的是想找一台“肉鸡”。一不小心,开了个iis,就让人黑了,看来不能掉以轻心。
当系统管理员的同志,安全重要啦,请加强防范。
本文转自sery51CTO博客,原文链接:http://blog.51cto.com/sery/5800 ,如需转载请自行联系原作者
