圖1 使用URLSnooper監(jiān)聽(tīng)網(wǎng)站所有鏈接和訪問(wèn)
說(shuō)明:
(1)URLSnooper是一款安全檢查工具��,就其名稱意義就知道該軟件是URL監(jiān)視,個(gè)人感覺(jué)是一款捕捉網(wǎng)站是否掛馬的好程序���。URLSnooper安裝比較簡(jiǎn)單,安裝完畢后需要安裝默認(rèn)的抓包軟件�。
(2)確認(rèn)網(wǎng)站被人掛馬后,首先將網(wǎng)站文件進(jìn)行了備份�����。
直接到網(wǎng)站根目錄查看網(wǎng)站文件的最近的一些修改時(shí)間��,從首頁(yè)更改的時(shí)間為8月25日��,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件�,如圖2所示,搜索出來(lái)好幾十個(gè)文件����,被修改文件很有特點(diǎn),index.html�����、index.asp��、conn.asp���、top.asp�����、foot.asp以及js文件均被修改����,從文件中可以看出該掛馬人絕對(duì)是一個(gè)團(tuán)伙或者是一個(gè)老手,他不是對(duì)所有文件進(jìn)行掛馬���,而是有針對(duì)性的對(duì)一個(gè)關(guān)鍵文件進(jìn)行掛馬�����。
圖2 查找被修改的網(wǎng)站文件
2.清除掛馬代碼
將其清除��。
(二)系統(tǒng)入侵痕跡搜索和整理
1.查看入侵者遺留在系統(tǒng)中的痕跡
對(duì)系統(tǒng)目錄以及服務(wù)器所有目錄進(jìn)行文件查看�,發(fā)現(xiàn)該入侵者使用過(guò)"1433全自動(dòng)掃描傳馬工具"��。通過(guò)對(duì)該工具軟件的研究分析���,該掃描工具中需要有配置文件�,用來(lái)下載木馬���。果不其然�����,在系統(tǒng)目錄下發(fā)現(xiàn)有一個(gè)文件cc1.txt生成日期是2008年5月29日����,大小只有64個(gè)字節(jié)�,用type命令顯示如下:
該文件是FTP自動(dòng)下載的配置信息,直接使用CuteFTP軟件進(jìn)行ftp登陸嘗試��,填好IP地址和帳號(hào)密碼�����,順利登錄如圖3所示����!從服務(wù)器上的東西不難看出,這臺(tái)機(jī)器的FTP路徑是Windows系統(tǒng)某個(gè)磁盤的根目錄��,里面有不少黑客用的工具���,機(jī)主肯定是一個(gè)入侵者或者安全愛(ài)好者�。
圖3 成功登陸Ftp服務(wù)器
說(shuō)明:
很多入侵者在利用網(wǎng)上下載的工具時(shí),沒(méi)有很好地設(shè)置和改造�,只是進(jìn)行簡(jiǎn)單的配置后,便開(kāi)始攻擊和入侵��。因此�����,在肉機(jī)上經(jīng)常留下各種木馬的安裝文件�,有時(shí)甚至還有FTP自動(dòng)上傳文件的配置文件?�?梢允褂?quot;dir /od /a" 命令查看當(dāng)前目錄中的文件���,如果存在小于100字節(jié)的文件����,則這些文件極有可能為配置文件��。
用掃描工具軟件查看以下該計(jì)算機(jī)開(kāi)放哪些端口�,如圖4所示,系統(tǒng)開(kāi)放了80端口和遠(yuǎn)程終端服務(wù)3389端口�。
(三)利用社會(huì)工程學(xué)進(jìn)行反滲透
1.使用獲取的Ftp賬號(hào)猜測(cè)服務(wù)登陸口令
既然在服務(wù)器上面開(kāi)放了3389端口、Ftp服務(wù),那么可以嘗試?yán)肍TP的帳號(hào)和口令登錄它的3389遠(yuǎn)程桌面����,猜測(cè)administrator的口令,結(jié)果不是gusdn���,也不是lixuanxu�,說(shuō)明使用Ftp賬號(hào)和口令不能進(jìn)入系統(tǒng)���,換一個(gè)思路。
2.從網(wǎng)站入手
接下來(lái)�����,使用IE瀏覽器打開(kāi)該IP地址�,可以正常訪問(wèn)網(wǎng)站,該服務(wù)提供了Web服務(wù)��,網(wǎng)站為游戲私服服務(wù)器����,如圖5所示,通過(guò)HDSI以及Domain3.5等SQL注入工具對(duì)網(wǎng)站進(jìn)行了探測(cè)����,未找到可以利用的地方�。
圖5 服務(wù)器提供web服務(wù)
3.從Ftp目錄入手
猛然想起在FTP的目錄中有一個(gè)web子目錄�,會(huì)不會(huì)與網(wǎng)站有關(guān)系呢?先上傳個(gè)asp木馬到web目錄試試����。不試不知道,一試嚇一跳�����,這個(gè)目錄居然正是網(wǎng)站的根目錄����, asp小馬可以正常運(yùn)行,如圖6所示�����,通過(guò)asp木馬在網(wǎng)站中看了看���,發(fā)現(xiàn)可以瀏覽所有磁盤���,不過(guò)只有D盤有寫(xiě)權(quán)限��。經(jīng)過(guò)與FTP中的文件進(jìn)行對(duì)比���,F(xiàn)TP的根目錄也就是D盤。
圖6 上傳Asp木馬
好了���,現(xiàn)在既可以上傳文件�,也可以瀏覽文件�����。要想提升權(quán)限�,還必須要能執(zhí)行命令。我上傳了一個(gè)asp的cmd木馬到web目錄����,結(jié)果竟然不能執(zhí)行�。繼續(xù)利用asp木馬在機(jī)器上找找其它的突破口,結(jié)果一無(wú)所獲���。FTP不是用Serv-U開(kāi)的�����,C盤不可寫(xiě)���,不能執(zhí)行命令���,怎么辦?
4.上傳Asp.net木馬提升系統(tǒng)權(quán)限
忽然想起用3389登錄這臺(tái)機(jī)器時(shí)���,它的操作系統(tǒng)是2003�,可能支持asp.net����,我為什么不上傳個(gè)aspx的CMD的木馬試試。說(shuō)干就干���。果然���,aspx木馬能執(zhí)行命令了,如圖7所示���。查看機(jī)器的用戶列表�����,居然沒(méi)有administrator卻有個(gè)xuanyu����,而FTP的口令是lixuanyu,一定是管理員把超級(jí)用戶改名過(guò)來(lái)的����。它的口令會(huì)是什么呢?還是用3389登錄器測(cè)試一番���,不是gusdn����,不是lixuanyu�����,更不是12345678��,猜不出來(lái)了���。
圖7 使用asp.net木馬查看系統(tǒng)管理員賬號(hào)
5.獲取數(shù)據(jù)庫(kù)用戶管理員密碼
按照密碼設(shè)置習(xí)慣,入侵者極有可能使用了相同密碼�,因此可以嘗試獲取數(shù)據(jù)庫(kù)中用戶的密碼來(lái)登陸遠(yuǎn)程終端服務(wù)器���。使用CuteFtp對(duì)整個(gè)網(wǎng)站目錄中的文件進(jìn)行查看,在TT目錄中發(fā)現(xiàn)數(shù)據(jù)庫(kù)文件"$_$%●yingzi★!#%&^$#.asa"���,使用FTP下載回來(lái)后����,把文件的后綴改為mdb��,使用access直接打開(kāi)該數(shù)據(jù)庫(kù)��,如圖8所示�,從中找到管理員使用的表Gq_Admin。
如圖8所示�,獲取管理員表Gq_Admin
從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶,并且是個(gè)高級(jí)管理員��,他的密碼用MD5加密后是5334e6dd7b8exxxx��。趕緊打開(kāi)網(wǎng)頁(yè)www.cmd5.com����,填好16位密碼,解密�����! Ok,不到1分鐘密碼出來(lái)了����,12703XXX,如圖9所示�����。
圖9 獲取用戶的密碼
6.再次登陸遠(yuǎn)程終端
直接打開(kāi)遠(yuǎn)程終端連接器���,在其中輸入用戶名"xuanyu"���,密碼"12703XXX",然后單擊"連接"����,很快成功進(jìn)入該計(jì)算機(jī),如圖10所示����。
圖10 成功進(jìn)入入侵者計(jì)算機(jī)服務(wù)器
7.查看入侵者服務(wù)器
使用systeminfo工具查看系統(tǒng)的詳細(xì)情況:
幾天后��,這臺(tái)機(jī)器的FTP服務(wù)沒(méi)有了,網(wǎng)站也從122.138.14.8搬到了122.138.14.4���,并且只能用域名www.sow2i.com來(lái)登錄了����。不過(guò)���,它們的3389還都是有的���,而且兩臺(tái)機(jī)器的帳號(hào)和口令都是一樣的。這樣�����,成功滲透第二臺(tái)計(jì)算機(jī)���,在計(jì)算機(jī)上面給了一個(gè)警告�����,呵呵����,當(dāng)然徹底的查看了該計(jì)算機(jī)上面的所有資料。
(四)總結(jié)
網(wǎng)絡(luò)安全與維護(hù)是攻擊與防護(hù)的對(duì)立統(tǒng)一����,好的攻擊就是好的防護(hù),從掛馬的計(jì)算機(jī)中中獲取的痕跡����,反過(guò)來(lái)滲透到入侵者的計(jì)算機(jī),也不是不可能的事情�����?���;叵敕礉B透入侵者的服務(wù)器過(guò)程中,突破口只是一個(gè)FTP口令����,接下來(lái)從網(wǎng)頁(yè)木馬到數(shù)據(jù)庫(kù)下載,從MD5的管理員口令到主機(jī)用戶口令���,最后實(shí)現(xiàn)了3389的遠(yuǎn)程桌面登錄�。整個(gè)過(guò)程并沒(méi)有多少技術(shù)含量,就是因?yàn)槿肭终叩氖韬龃笠?�,結(jié)果被反滲透��!因此在網(wǎng)絡(luò)管理與維護(hù)過(guò)程中����,碰到問(wèn)題不要害怕��,仔細(xì)分析����,合理利用每一個(gè)掌握的信息,極有可能發(fā)生意想不到的事情�����,讓我們?cè)诰W(wǎng)絡(luò)維護(hù)過(guò)程中享受工作的樂(lè)趣�。
