隨著信息技術的發(fā)展，越來越多的人都喜歡用計算機辦公，發(fā)郵件，建設自己的個人站點，公司建立自己的企業(yè)站點，政府也逐漸的采取了網上辦公，更好的為人民服務，銀行和證券機構也都開始依托互聯(lián)網來進行金融和股票交易，但是隨著方便的同時也同時帶來了新的一些計算機網絡安全隱患，隨著司法機關的介入，我相信在不久的將來，網絡攻擊調查取證也會成為立法機構必須要考慮設立的一門新的學科，目前來說開設這個的課程多在網絡警察和一些特殊機關，現(xiàn)在我來給大家講下我親身經歷并參與完成的一次取證過程，用事實來講述；

我一直從事病毒分析，網絡攻擊響應相關的工作，這次應好朋友的邀請，幫忙配合去協(xié)查幾臺服務器，我們來到了某XXX駐地，首先進行例行檢查。經過了1天左右的時間的檢查，其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件，共發(fā)現(xiàn)問題主機服務器10臺，其中2臺比較嚴重，（以下用A服務器和B服務器來代替）和朋友商定后，決定帶回我們的實驗室，進行專項深入分析。

習慣的檢查步驟操作：

服務器操作系統(tǒng)版本信息——>操作系統(tǒng)補丁安裝情況——>操作系統(tǒng)安裝時間，中間有沒有經過進行重新安裝——>服務器維護情況——>服務器上面安裝的軟件版本信息

日志檢查——IDS日志信息/IIS日志信息/系統(tǒng)日志信息
網站代碼審查——是否存在一句話木馬，源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本，配置的是否合理，配套的監(jiān)視是否全部打開
數(shù)據(jù)恢復——>利用專用數(shù)據(jù)恢復軟件進行數(shù)據(jù)恢復，恢復一些被刪除的日志信息和系統(tǒng)信息，曾經安裝過的文件操作信息。
提取可疑文件（病毒、木馬、后門、惡意廣告插件）——在系統(tǒng)文件目錄利用第三方或者自開發(fā)軟件，對可疑文件進行提取并進行深度分析。

上述步驟是我個人總結的，有不妥的地方還請朋友們指正，介紹完理論，我們來實踐處理下這兩臺服務器。

A服務器檢查處理過程

該A服務器所裝的操作系統(tǒng)是Advanced 2000 server，服務器上安裝的有瑞星2008殺毒軟件，病毒庫已經更新到最新版本。但是并沒有安裝網絡防火墻和其他系統(tǒng)監(jiān)視軟件，安裝的ftp服務器版本為server-u 6.0（存在溢出攻擊的威脅）

一 對原始數(shù)據(jù)進行恢復

利用Datarecover軟件來恢復一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。進行深度分析，把曾經做過的格式化，以及在回收站中刪除過的文件恢復過來，但是遺憾的是成功拿下這臺服務器權限的黑客已經做了專業(yè)處理，把他的一些痕跡進行了全面清理，個人認為他使用了日本地下黑客組織開發(fā)的專項日志清除工具，經過我和助手的共同努力還是把系統(tǒng)日志恢復到當年5月份。

二 手工分析可疑文件

在本服務器的c盤根目錄下面有一個sethc..exe 文件。這個文件是微軟自帶的，是系統(tǒng)粘制鍵，真實的大小應為27kb，而這個文件為270kb，起初我以為是由于打補丁的原因。但是經過翻閱一些資料和做比對之后，才知道這樣的文件是一個新開發(fā)的流行后門，主要用法：通過3389終端，然后通過5次敲擊shift鍵，直接調用sethc.exe而直接取得系統(tǒng)權限。隨后達到控制整個服務器，通常他還是通過刪除正常的一些c盤exe文件。然后把自己偽造成那個所刪除的exe文件名。造成一種假象。

這里我們提供解決方法如下：個人建議這個功能實用性并不高，建議直接刪除這個文件，如果有人利用這個手法來對你的服務器進行入侵，那就肯定是有人做了手腳，可以第一時間發(fā)現(xiàn)黑客入侵行為，也可以作為取證分析的一個思路；在控制面板的輔助功能里面設置取消粘制鍵。

三、 利用專用防火墻檢查工具去查看網絡連接情況

目的是通過抓數(shù)據(jù)包來找出問題。如果對方安裝的有遠程控制終端，他肯定需要讓保存在服務器上的后門和控制終端進行通話，會有一個會話連接。通過防火墻的攔截功能而去尋找出控制的源頭。這個上面沒有發(fā)現(xiàn)存在反彈木馬，所以沒有看到入侵的源頭。

四、檢查系統(tǒng)日志

作用：檢查系統(tǒng)日志是否被入侵者清除，如果日志被入侵者刪除，需要用數(shù)據(jù)恢復軟件恢復操作系統(tǒng)日志
檢查內容：主要包括IIS日志，安全性日志，系統(tǒng)日志。

更近一步深入檢查：

找到日志后，仔細分析網站是否有入侵者留下的webshell,尤其是一句話后門
根據(jù)Webshell的名字， 在IIS 訪問日志里搜索相關的名字，找到入侵者常用的ip地址，分析ip地址
還可以根據(jù)此IP地址檢索IIS日志中，此入侵者都進行過什么樣的操作
技術點滴：如果你比較熟悉Webshell，通過Get操作可以知道入侵者都進行過何種操作。因為Get操作是被系統(tǒng)記錄的。

如果入侵者裝有系統(tǒng)級的后門，用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件，用其他調試工具分析找到入侵者控制端IP地址。

通過服務器日志查出隱藏在后面的幕后黑客

通過iis的log訪問日志，排查出三個可疑目標，其中一個手法相對于后兩個入侵者更熟練一些，他在今年5月份左右或者更早就拿到了該服務器權限，上來之后到是沒有做任何的添加和修改，從技術上來看，他是通過尋找網站的注入點進來的，然后在上面放了不少的后門，還放了一個mm.exe的文件，但是因為技術問題，沒有把這個馬運行起來，從外部訪問只是在主頁上顯示為mm.jpeg，偽裝成了圖片。但是打開以后，什么都沒有。經過我們分析以后，它是一張裸女的jpeg文件。如果他這個mm.exe成功，完全有可能將該主站頁面換成一張黃色圖片。危害還是有的。另外該站點權限給的過高，在訪問新聞頻道的時候，直接就是sa權限。這個是最高系統(tǒng)級和Admin是一個級別的。

由于服務器被網管人員重新裝過，初步懷疑是用的ghost安裝的，造成了原珍貴日志數(shù)據(jù)無法找回，我們只能分析出7月份-12月份這段時間的日志，通過這些日志我們又發(fā)現(xiàn)了針對此站點的入侵記錄。

入侵者操作再現(xiàn)：（黑客入侵操作過程分析）

2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址為：http://www.dianqiji.com/pic/2007/0428/admin.exe

2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell里留的QQ:183037，之后此人頻繁用此后門登陸服務器

2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數(shù)據(jù)庫的webshell /system/unit/main.asp 此后門可以瀏覽到敏感數(shù)據(jù)庫的信息
2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:\ybcenter\ggsm.asp
之后，218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾經留下的操作數(shù)據(jù)庫的后門/service/asp.asp訪問敏感數(shù)據(jù)庫的信息
2007-08-25 08:27:57 218.28.24.118 用他曾經留下的操作數(shù)據(jù)庫的后門/system/unit/sql.asp訪問敏感數(shù)據(jù)庫的信息
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的操作數(shù)據(jù)庫的后門/yb/in_main3.asp訪問敏感數(shù)據(jù)庫

2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe為http://ray8701.3322.org/1.exe

2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務器
2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-12-10 12:41:34 123.52.18.141 檢測注入

五、查看登陸信息 查看是否存在有克隆帳戶。

方法：檢查注冊表里面的sam文件有沒有相同的fv，在這里檢查過程中沒有發(fā)現(xiàn)存在有克隆帳號。

六、查看系統(tǒng)安裝日志，在這里并未發(fā)現(xiàn)問題。



七、 查看IIS訪問日志，在這里發(fā)現(xiàn)了攻擊者信息。

2007-12-01 08:55:16 220.175.79.231 檢測注入
2007-12-03 18:40:48 218.28.68.126 檢測注入
2007-12-04 01:31:32 218.28.192.90 檢測注入，掃描web目錄
2007-12-04 23:23:33 221.5.55.76 檢測注入
2007-12-05 09:20:57 222.182.140.71 檢測注入
2007-12-08 09:39:53 218.28.220.154 檢測注入
2007-12-08 21:31:44 123.5.197.40 檢測注入
2007-12-09 05:32:14 218.28.246.10 檢測注入
2007-12-09 08:47:43 218.28.192.90 檢測注入
2007-12-09 16:50:39 61.178.89.229 檢測注入
2007-12-10 05:50:24 58.54.98.40 檢測注入

定位可疑IP地址，追蹤來源 查出IP地址的信息。

八、查看網站首頁的源代碼，在iframe 這個位置查看是否有不屬于該網站的網站信息。（查找 網馬的方法），以及如何發(fā)現(xiàn)一些潛在的木馬和網絡可利用漏洞。

下面是我們得到的一些他的網馬。

gg3.asp Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp

system/unit/conn.asp 加入防注入
Q:6242889678

images/mm.jpg = exe自解壓 主頁包含文件

一句話木馬：

備份一句話木馬

注射檢查，在IIS里面查找是否存在的有針對 and 1=1’sql
'or'='or' a'or'1=1-- ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用：躲避驗證信息 主要用在后臺登陸上

\ 爆數(shù)據(jù)庫，作用直接下載服務器上的數(shù)據(jù)庫，獲得用戶名和密碼，經過系統(tǒng)提權而拿到整個服務器權限。
針對一些下載者這樣的木馬 ，主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件，重點查看一下在system32文件夾下面的exe文件，尤其關注最新生成的exe文件，偽造的系統(tǒng)文件等。

以上就是針對A服務器的整個檢查過程以及發(fā)現(xiàn)問題后該如何處理和補救的相關解決方法。

B服務器檢查取證分析

B服務器裝的是windows2000　server版本，操作步驟同上。

經過一段細心的檢查還是讓我和助手們發(fā)現(xiàn)了一個木馬，起因是在網站源代碼處發(fā)現(xiàn)都被插入了一些奇怪的代碼，在system32系統(tǒng)文件夾下還發(fā)現(xiàn)了新的niu.exe,非?？梢?，提取該exe文件，在虛擬機中進行分析，得出該exe工作原理：

該exe屬木馬類，病毒運行后判斷當前運行文件的文件路徑如果不是%System32%\SVCH0ST.EXE，將打開當前文件的所在目錄復制自身到%System32%下，更名為SVSH0ST.EXE，并衍生autorun.inf文件；復制自身到所有驅動器根目錄下，更名為niu.exe，并衍生autorun.inf文件，實現(xiàn)雙擊打開驅動器時，自動運行病毒文件；遍歷所有驅動器，在htm、asp、aspx、php、html、jsp格式文件的尾部插入96個字節(jié)的病毒代碼；遍歷磁盤刪除以GHO為擴展名的文件，使用戶無法進行系統(tǒng)還原；連接網絡下載病毒文件；修改系統(tǒng)時間為2000年；病毒運行后刪除自身。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。