實例講解網站被入侵後需做的檢測

先分析入侵者都做了些什麽！  


記得為了方便在他機器上裝了RADMIN，登錄了一下，密碼也不對了，看來是有人上去了，而且入侵者還拿到了係統管理員權限。

跑到機房，拿出ERD COMMANDER，改了密碼，重啟，進入係統後第一步升級帳戶，多了一個hud$的用戶，administrators組，刪除，再看guest用戶雖然禁用狀態，但是說明內容不對了。仔細一看，administrators組，同樣刪除。接著看了下其他用戶，組別都正常，把遠程連接權限都去掉後，帳號方麵算是處理完了。

接著看看各個硬盤C:\下麵有如下文件

qlhello.exe

qlhello2.exe

result.txt

1.bat

2.bat

編輯了下1.bat，裏麵內容都是掃描整個網段。看來是有人拿這台機器當跳板了，移動所有文件到其他目錄。

接著審計應用程序，考慮這台機器的用途和環境。

是WINDOWS2000+IIS+SERV-U

先看SERV-U審計用戶，看看有沒有別人加system權限的FTP用戶，查看下來沒有。

執行權限也沒有，鎖定目錄狀態都是對的。

看了下沒有記錄日誌。

然後看了版本。

5.0.0.4...ft了，早讓他升級，就是不升，看來是被入侵的第一步，先升級到6.0.0.2

FTP這裏應該沒什麽問題了。

IIS方麵的分析：

開著日誌記錄，太好了，等會兒分析日誌

繼續看，其他都是默認配置，先在應用程序映射裏把所有的文件類型都刪除幹淨隻保留.ASP和.ASA

審計文件權限

設定各個分區和目錄的權限。

接著審查木馬情況，由於係統不能重裝，所以隻能加固原有已經被入侵的係統，考慮到這個入侵者添加的用戶的情況以及在C根目錄放文件還有日誌都是開放等等情況，估計水平不會很高，也不會植入自己編寫的木馬。

使用了朋友thrkdev編的ATE來查了一遍，看來沒有已知木馬。

接著查找WEBSHELL，考慮到入侵者水平，最多也就用用海陽，而且最多也就把部分版權信息去掉，搜索所有內容包含lcx的.ASP文件。

果然，4個文件。

2005.asp

ok.asp

dvbbs7.asp

aki.asp

看來分析還是比較準確的，除了dvbbs7.asp有點創意，移動這些文件到其他目錄，供以後審計用。

然後是網絡部分

TCP過濾未開，IPSEC未指派。

先把NETBIOS關掉，然後TCP內隻允許20,21,80,3389

考慮到反向木馬的可能性

在IPSEC內打開本機SPORT 20,21,80,3389到外部任意端口，其他從內部往外的一律屏蔽。

係統萃取，把一些無關服務與軟件關閉或者卸載。

對係統進行補丁升級，還好補丁還是沒有缺，把自動UPDATE設置到自動安裝。

最後一步是分析日誌，看看有沒有遺漏的地方，係統本身的日誌都被關閉了。看來入侵者還是比較小心。

打開該審計的部分，在關鍵目錄，比如係統目錄加上了審計，使得所有對C:\WINNT的創建文件的成功與失敗都記錄在日誌內。

由於前麵提到SERV-U日誌原來並未記錄，隻能打開IIS日誌查找對於找到的4個WEBSHELL的訪問情況，找到了訪問的IP，回查，來自一個固定IP地址，瀏覽了一下，得到信息後給對方管理員去郵件通知他們做好安全工作。

其實還有一些部分內容應該做而限於有些條件沒有做的。

1.更換係統默認用戶用戶名

因為兄弟他們對計算機不熟，就沒有更換，不過要求他們使用更加強壯的密碼了

2.對於加密的webshell的查找

上述內容中對於WEBSHELL隻查找了一種，並且隻針對明文編碼的頁麵程序進行了查找，應該是可以加入對於編碼後ASP WEBSHELL的搜索。

還有搜索內容應該由簡單的LCX擴展到w.shell等更加廣泛與匹配的關鍵詞的查找

3.對於木馬的查找

由於預估入侵者水平不高，所以這項隻依靠殺木馬軟件進行了搜索，如果有時間的話，還是應該手工進行查找

4.對頁麵程序進行評估

也有由於時間關係，沒時間對原有網站程序進行檢查。

5.入侵測試

由於入侵檢測很可能被入侵者的思路帶著走而忽略了其他薄弱環節。

所以檢測完畢應該最好進行完全的測試，保證其他路徑是同樣強壯的。