先分析入侵者都做了些什么!

　　記得為了方便在他機(jī)器上裝了RADMIN。登錄了一下，密碼也不對(duì)了，看來是被入侵了，而且入侵者還拿到了系統(tǒng)管理員權(quán)限。

　　來到機(jī)房，拿出ERD COMMANDER，改了密碼，重啟。進(jìn)入系統(tǒng)后第一步升級(jí)帳戶，在administrators組多了一個(gè)hud$的用戶，將其刪除。再看guest用戶雖然禁用狀態(tài)，但是說明內(nèi)容不對(duì)了，仔細(xì)一看也被加入administrators組，同樣刪除。接著看了下其他用戶、組別都正常，把遠(yuǎn)程連接權(quán)限都去掉后，帳號(hào)方面算是處理完了。

　　接著看看各個(gè)硬盤

　　C:\下面有如下文件

　　sqlhello.exe

　　sqlhello2.exe

　　result.txt

　　1.bat

　　2.bat

　　編輯了下1.bat，里面內(nèi)容都是掃描整個(gè)網(wǎng)段。看來是有人拿這臺(tái)機(jī)器當(dāng)跳板了，移動(dòng)所有文件到其他目錄。

　　接著審計(jì)應(yīng)用程序，考慮這臺(tái)機(jī)器的用途和環(huán)境是WINDOWS2000+IIS+SERV-U。

　　檢查SERV-U

　　先看SERV-U審計(jì)用戶，看看有沒有別人加system權(quán)限的FTP用戶，查看后未發(fā)現(xiàn)異常。

　　執(zhí)行權(quán)限也沒有，鎖定目錄狀態(tài)都是對(duì)的。

　　看了下沒有記錄日志。

　　檢查SERV-U版本，發(fā)現(xiàn)竟然使用的是5.0.0.4版。看來FTP是被入侵的第一步，先升級(jí)到6.0.0.2。

　　FTP這里應(yīng)該沒什么問題了。

　　IIS方面的分析:

　　日志記錄功能是打開的，等會(huì)兒分析日志

　　繼續(xù)看，其他都是默認(rèn)配置，先在應(yīng)用程序映射里把所有的文件類型都刪除干凈只保留.ASP和.ASA

　　審計(jì)文件權(quán)限

　　設(shè)定各個(gè)分區(qū)和目錄的權(quán)限。

　　接著審查木馬情況，由于系統(tǒng)不能重裝，所以只能加固原有已經(jīng)被入侵的系統(tǒng)，考慮到這個(gè)入侵者添加的用戶的情況以及在C根目錄放文件還有日志都是開放等等情況，估計(jì)水平不會(huì)很高，也不會(huì)植入自己編寫的木馬。

　　使用了朋友thrkdev編的ATE來查了一遍，看來沒有已知木馬。

　　接著查找WEBSHELL，考慮到入侵者水平，最多也就用用海陽，而且最多也就把部分版權(quán)信息去掉，搜索所有內(nèi)容包含lcx的.ASP文件。

　　果然，4個(gè)文件。

　　2005.asp

　　ok.asp

　　dvbbs7.asp

　　aki.asp

　　看來分析還是比較準(zhǔn)確的，除了dvbbs7.asp有點(diǎn)創(chuàng)意，移動(dòng)這些文件到其他目錄，供以后審計(jì)用。

　　然后是網(wǎng)絡(luò)部分

　　TCP過濾未開，IPSEC未指派。

　　先把NETBIOS關(guān)掉，然后TCP內(nèi)只允許20,21,80,3389

　　考慮到反向木馬的可能性

　　在IPSEC內(nèi)打開本機(jī)SPORT 20,21,80,3389到外部任意端口，其他從內(nèi)部往外的一律屏蔽。

　　系統(tǒng)萃取，把一些無關(guān)服務(wù)與軟件關(guān)閉或者卸載。對(duì)系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)，還好補(bǔ)丁還是沒有缺，把自動(dòng)UPDATE設(shè)置到自動(dòng)安裝。

　　最后一步是分析日志，看看有沒有遺漏的地方，系統(tǒng)本身的日志都被關(guān)閉了。看來入侵者還是比較小心。

　　打開該審計(jì)的部分，在關(guān)鍵目錄，比如系統(tǒng)目錄加上了審計(jì)，使得所有對(duì)C:\WINNT的創(chuàng)建文件的成功與失敗都記錄在日志內(nèi)。

　　由于前面提到SERV-U日志原來并未記錄，只能打開IIS日志查找對(duì)于找到的4個(gè)WEBSHELL的訪問情況，找到了訪問的IP，回查，來自一個(gè)固定IP地址，瀏覽了一下，得到信息后給對(duì)方管理員去郵件通知他們做好安全工作。

　　一些部分內(nèi)容應(yīng)該做而限于有些條件沒有做的:

　　1.更換系統(tǒng)默認(rèn)用戶用戶名

　　因?yàn)樾值芩麄儗?duì)計(jì)算機(jī)不熟，就沒有更換，不過要求他們使用更加強(qiáng)壯的密碼了

　　2.對(duì)于加密的webshell的查找

　　上述內(nèi)容中對(duì)于WEBSHELL只查找了一種，并且只針對(duì)明文編碼的頁面程序進(jìn)行了查找，應(yīng)該是可以加入對(duì)于編碼后ASP WEBSHELL的搜索。

　　還有搜索內(nèi)容應(yīng)該由簡單的LCX擴(kuò)展到wscript.shell等更加廣泛與匹配的關(guān)鍵詞的查找

　　3.對(duì)于木馬的查找

　　由于預(yù)估入侵者水平不高，所以這項(xiàng)只依靠殺木馬軟件進(jìn)行了搜索，如果有時(shí)間的話，還是應(yīng)該手工進(jìn)行查找

　　4.對(duì)頁面程序進(jìn)行評(píng)估

　　也有由于時(shí)間關(guān)系，沒時(shí)間對(duì)原有網(wǎng)站程序進(jìn)行檢查。

　　5.入侵測試

　　由于入侵檢測很可能被入侵者的思路帶著走而忽略了其他薄弱環(huán)節(jié)。

　　所以檢測完畢應(yīng)該最好進(jìn)行完全的測試，保證其他路徑是同樣強(qiáng)壯的。