我一直從事病毒分析， 網絡攻擊響應相關的工作， 這次應好朋友的邀請， 幫忙配合去協查幾臺服務器， 我們來到了某XXX駐地， 首先進行例行檢查。 經過了1天左右的時間的檢查， 其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件， 共發現問題主機服務器10臺， 其中2臺比較嚴重， (以下用A服務器和B服務器來代替)和朋友商定后， 決定帶回我們的實驗室， 進行專項深入分析。

習慣的檢查步驟操作：

服務器操作系統版本信息——>操作系統補丁安裝情況——>操作系統安裝時間， 中間有沒有經過進行重新安裝——>服務器維護情況——>服務器上面安裝的軟件版本信息

日志檢查——IDS日志信息/IIS日志信息/系統日志信息

網站代碼審查——是否存在一句話木馬， 源代碼上是否存在惡意代碼插入

殺毒軟件版本更新情況——是否是最新版本， 配置的是否合理， 配套的監視是否全部打開

數據恢復——>利用專用數據恢復軟件進行數據恢復， 恢復一些被刪除的日志信息和系統信息， 曾經安裝過的文件操作信息。

提取可疑文件(病毒、木馬、后門、惡意廣告插件)——在系統文件目錄利用第三方或者自開發軟件， 對可疑文件進行提取并進行深度分析。

上述步驟是我個人總結的， 有不妥的地方還請朋友們指正， 介紹完理論， 我們來實踐處理下這兩臺服務器。

A服務器檢查處理過程

該A服務器所裝的操作系統是Advanced 2000 server， 服務器上安裝的有瑞星2008殺毒軟件， 病毒庫已經更新到最新版本。 但是并沒有安裝網絡防火墻和其他系統監視軟件， 安裝的ftp服務器版本為server-u 6.0(存在溢出攻擊的威脅)

一 對原始數據進行恢復

利用Datarecover軟件來恢復一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。 進行深度分析， 把曾經做過的格式化， 以及在回收站中刪除過的文件恢復過來， 但是遺憾的是成功拿下這臺服務器權限的黑客已經做了專業處理， 把他的一些痕跡進行了全面清理， 個人認為他使用了日本地下黑客組織開發的專項日志清除工具， 經過我和助手的共同努力還是把系統日志恢復到當年5月份。

二 手工分析可疑文件

在本服務器的c盤根目錄下面有一個sethc..exe 文件。 這個文件是微軟自帶的， 是系統粘制鍵， 真實的大小應為27kb， 而這個文件為270kb， 起初我以為是由于打補丁的原因。 但是經過翻閱一些資料和做比對之后， 才知道這樣的文件是一個新開發的流行后門， 主要用法：通過3389終端， 然后通過5次敲擊shift鍵， 直接調用sethc.exe而直接取得系統權限。 隨后達到控制整個服務器， 通常他還是通過刪除正常的一些c盤exe文件。 然后把自己偽造成那個所刪除的exe文件名。 造成一種假象。

這里我們提供解決方法如下：個人建議這個功能實用性并不高， 建議直接刪除這個文件， 如果有人利用這個手法來對你的服務器進行入侵， 那就肯定是有人做了手腳， 可以第一時間發現黑客入侵行為， 也可以作為取證分析的一個思路;在控制面板的輔助功能里面設置取消粘制鍵。

三、 利用專用防火墻檢查工具去查看網絡連接情況

目的是通過抓數據包來找出問題。 如果對方安裝的有遠程控制終端， 他肯定需要讓保存在服務器上的后門和控制終端進行通話， 會有一個會話連接。 通過防火墻的攔截功能而去尋找出控制的源頭。 這個上面沒有發現存在反彈木馬， 所以沒有看到入侵的源頭。

四、檢查系統日志

作用：檢查系統日志是否被入侵者清除， 如果日志被入侵者刪除， 需要用數據恢復軟件恢復操作系統日志

檢查內容：主要包括IIS日志， 安全性日志， 系統日志。

更近一步深入檢查：

找到日志后， 仔細分析網站是否有入侵者留下的webshell,尤其是一句話后門

根據Webshell的名字， 在IIS 訪問日志里搜索相關的名字， 找到入侵者常用的ip地址， 分析ip地址

還可以根據此IP地址檢索IIS日志中， 此入侵者都進行過什么樣的操作

技術點滴：如果你比較熟悉Webshell， 通過Get操作可以知道入侵者都進行過何種操作。 因為Get操作是被系統記錄的。

如果入侵者裝有系統級的后門， 用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件， 用其他調試工具分析找到入侵者控制端IP地址。

通過服務器日志查出隱藏在后面的幕后黑客

通過iis的log訪問日志， 排查出三個可疑目標， 其中一個手法相對于后兩個入侵者更熟練一些， 他在今年5月份左右或者更早就拿到了該服務器權限， 上來之后到是沒有做任何的添加和修改， 從技術上來看， 他是通過尋找網站的注入點進來的， 然后在上面放了不少的后門， 還放了一個mm.exe的文件， 但是因為技術問題， 沒有把這個馬運行起來， 從外部訪問只是在主頁上顯示為mm.jpeg， 偽裝成了圖片。 但是打開以后， 什么都沒有。 經過我們分析以后， 它是一張裸女的jpeg文件。 如果他這個mm.exe成功， 完全有可能將該主站頁面換成一張黃色圖片。 危害還是有的。 另外該站點權限給的過高， 在訪問新聞頻道的時候， 直接就是sa權限。 這個是最高系統級和Admin是一個級別的。

由于服務器被網管人員重新裝過， 初步懷疑是用的ghost安裝的， 造成了原珍貴日志數據無法找回， 我們只能分析出7月份-12月份這段時間的日志， 通過這些日志我們又發現了針對此站點的入侵記錄。

入侵者操作再現：(黑客入侵操作過程分析)

2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add

2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址為：http://www.hack58.com

2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell里留的QQ:183037， 之后此人頻繁用此后門登陸服務器

2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數據庫的webshell /system/unit/main.asp 此后門可以瀏覽到敏感數據庫的信息

2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:\ybcenter\ggsm.asp

之后， 218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務器上文件

2007-11-11 14:23:23 218.28.24.118 用他曾經留下的操作數據庫的后門/service/asp.asp訪問敏感數據庫的信息

2007-08-25 08:27:57 218.28.24.118 用他曾經留下的操作數據庫的后門/system/unit/sql.asp訪問敏感數據庫的信息

2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的操作數據庫的后門/yb/in_main3.asp訪問敏感數據庫

2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe為http://www.520hack.com

2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務器

2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-12-10 12:41:34 123.52.18.141 檢測注入

五、查看登陸信息 查看是否存在有克隆帳戶。

方法：檢查注冊表里面的sam文件有沒有相同的fv， 在這里檢查過程中沒有發現存在有克隆帳號。

六、查看系統安裝日志， 在這里并未發現問題。

七、 查看IIS訪問日志， 在這里發現了攻擊者信息。

2007-12-01 08:55:16 220.175.79.231 檢測注入

2007-12-03 18:40:48 218.28.68.126 檢測注入

2007-12-04 01:31:32 218.28.192.90 檢測注入， 掃描web目錄

2007-12-04 23:23:33 221.5.55.76 檢測注入

2007-12-05 09:20:57 222.182.140.71 檢測注入

2007-12-08 09:39:53 218.28.220.154 檢測注入

2007-12-08 21：31：44 123.5.197.40 檢測注入

2007-12-09 05：32：14 218.28.246.10 檢測注入

2007-12-09 08：47：43 218.28.192.90 檢測注入

2007-12-09 16：50：39 61.178.89.229 檢測注入

2007-12-10 05：50：24 58.54.98.40 檢測注入

定位可疑IP地址， 追蹤來源 查出IP地址的信息。

八、查看網站首頁的源代碼， 在iframe 這個位置查看是否有不屬于該網站的網站信息。 (查找 網馬的方法)， 以及如何發現一些潛在的木馬和網絡可利用漏洞。

下面是我們得到的一些他的網馬。

gg3.asp Q：1062335

log.asp

pigpot.asp

webdown.vbs

attach/a.gif

attach/chongtian.gif

attach/111.rar

system/unit/yjh.asp

system/unit/conn.asp 加入防注入

Q：88373635

images/mm.jpg = exe自解壓 主頁包含文件

一句話木馬：

備份一句話木馬

注射檢查， 在IIS里面查找是否存在的有針對 and 1=1’sql

'or'='or' a'or'1=1-- ， 'or1=1-- ， "or1=1-- ， or1=1--， 'or'a'='a， "or"="a'='a等

作用：躲避驗證信息 主要用在后臺登陸上

%5c 爆數據庫， 作用直接下載服務器上的數據庫， 獲得用戶名和密碼， 經過系統提權而拿到整個服務器權限。

針對一些下載者這樣的木馬 ， 主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件， 重點查看一下在system32文件夾下面的exe文件， 尤其關注最新生成的exe文件， 偽造的系統文件等。

以上就是針對A服務器的整個檢查過程以及發現問題后該如何處理和補救的相關解決方法。

B服務器檢查取證分析

B服務器裝的是windows2000　server版本， 操作步驟同上。

經過一段細心的檢查還是讓我和助手們發現了一個木馬， 起因是在網站源代碼處發現都被插入了一些奇怪的代碼， 在system32系統文件夾下還發現了新的niu.exe， 非常可疑， 提取該exe文件， 在虛擬機中進行分析， 得出該exe工作原理：

該exe屬木馬類， 病毒運行后判斷當前運行文件的文件路徑如果不是%System32%\SVCH0ST.EXE， 將打開當前文件的所在目錄復制自身到%System32%下， 更名為SVSH0ST.EXE， 并衍生autorun.inf文件；復制自身到所有驅動器根目錄下， 更名為niu.exe， 并衍生autorun.inf文件， 實現雙擊打開驅動器時， 自動運行病毒文件；遍歷所有驅動器， 在htm、asp、aspx、php、html、jsp格式文件的尾部插入96個字節的病毒代碼；遍歷磁盤刪除以GHO為擴展名的文件， 使用戶無法進行系統還原；連接網絡下載病毒文件；修改系統時間為2000年；病毒運行后刪除自身。