同學(xué)給我介紹了一個電子商務(wù)網(wǎng)站，因?yàn)樽约鹤x的就是電子商務(wù)專業(yè)，加上對網(wǎng)絡(luò)安全比較感興趣，所以看了這樣的好網(wǎng)站，當(dāng)然要幫忙測試下網(wǎng)絡(luò)安全啦，首先做下常見端口掃描，咦，有狀況……
6129端口開了，6129是上段時間在網(wǎng)上比較流行的一個遠(yuǎn)程控制軟件的端口，想想網(wǎng)管自己應(yīng)該不會給自己主機(jī)裝個這樣的玩意兒吧。難道……嗯，繼續(xù)掃掃，調(diào)出流光，掃啊掃，建立空連接失敗，沒有弱口令，ＩＩＳ沒有漏洞，ＭＳＳＱＬ連ＳＡ都改了密碼……不會啊～這個網(wǎng)站防御措施做的還是蠻足的啊，怎么又像被人入侵過的痕跡呢？嗯，試試最近比較流行的那個ＭＳＳＱＬ溢出漏洞，試試看……
溢出成功！進(jìn)去了。
看來，如果沒有估計錯的話，那么那個遠(yuǎn)程控制軟件就是以前的入侵者留下來的。作為一個電子商務(wù)網(wǎng)站，不能夠有效地解決網(wǎng)絡(luò)安全這個問題，難怪國人現(xiàn)在對網(wǎng)上交易還不大放心。既然如此，那就好事做到底，幫網(wǎng)管把這主機(jī)的漏洞補(bǔ)上，堵了入侵者的后門，斷了入侵者的后路。
首先把要用到的工具都上傳到目標(biāo)主機(jī)上面去，建個IPC$管道，上傳一些待會分析要用到的工具，如mport.exe這個能查看進(jìn)程對應(yīng)端口的體積小卻功能強(qiáng)大工具，看下這主機(jī)有多少用戶屬于管理員組：
根據(jù)經(jīng)驗(yàn)，像backup$這類的用戶就一定是入侵者留下來的賬號。因?yàn)樵诿钚邢?，像hacker$這樣的用戶名你用net user是看不到的，系統(tǒng)默認(rèn)會隱藏掉。但是有個致命的缺點(diǎn)，就是用net localgroup則可以列出組中所有用戶，無論加了$還是沒有加。接著繼續(xù)判斷其他用戶的合法度，轉(zhuǎn)到C:\Documents and Settings目錄下，這個目錄記錄了曾經(jīng)在目標(biāo)主機(jī)上登陸過的用戶的一些信息：
每個文件夾前面的創(chuàng)建日期可以給我們一點(diǎn)提示：管理員賬號administrator創(chuàng)建于2002-02-01，除了webmaster是2002-11-19以外，其他的用戶都比較接近，所以我們把重點(diǎn)放在webmaster上面。這時我們需要得到更多有個這個賬號的信息，net user webmaster，得到此賬號上次登陸時間是“上次登錄 2002/11/29 上午 08:44”，也就是周五早上上班時間登陸的，再轉(zhuǎn)向C:\Documents and Settings\webmaster\桌面>目錄下：
桌面上有幾個常用的快捷方式，想想倒也蠻符合此賬號webmaster的身份。再轉(zhuǎn)到C:\Documents and Settings\webmaster\「開始」菜單\程序>目錄下，也只是幾個網(wǎng)管常用的工具連接。所以我們初步斷定webmaster這個賬號為合法賬號，那么我們就除掉backup$這個用戶：net user backiup$ /del。
查完了用戶，就輪到查查入侵者是否有在主機(jī)上留下特洛伊
[url=http://www.77169.com/Article/List/List_41.html]木馬[/url]
程序或是其他遠(yuǎn)程控制程序此類的后門，這時就要用到前面上傳的mport.exe啦。執(zhí)行下mport.exe，咦，又有情況：
主機(jī)竟然開了遠(yuǎn)程終端，而且被換在了2887端口而不是默認(rèn)的3389端口，看來又是入侵者的杰作。
命令行下：netstat –an看看現(xiàn)在都有誰連接到主機(jī)上：
哈！真是巧，有人在連接終端，原來入侵者就在身邊，那么補(bǔ)漏的工作更加刻不容緩。
那么咱們也登陸上終端看看，說不定會有新的發(fā)現(xiàn)。登上終端，輸入剛剛自己加的賬號，熟悉的桌面又展現(xiàn)眼前．繼續(xù)咱們的補(bǔ)漏工作。記得剛開始掃常見端口的時候主機(jī)開了80。查一查原來是臺WEB發(fā)布服務(wù)器，主機(jī)上有5０來個網(wǎng)站，主機(jī)已經(jīng)打了ＳＰ３，不存在idq/ida溢出，Unicode和二次解碼漏洞也不存在，主目錄設(shè)在了Ｅ盤下，也不必?fù)?dān)心那幾個默認(rèn)的WEB共享文件夾。接著看看主機(jī)運(yùn)行了哪些服務(wù)，按照以往的經(jīng)驗(yàn)，凡是服務(wù)名開頭的字母沒有大寫的，除了pcanywhere以外，都是入侵者自己留的后門或是其他別的什么。還有一些服務(wù)名沒有改的遠(yuǎn)程控制軟件一眼就可以看出來，像比較流行的Radmin。
入侵者雖然把服務(wù)端改成了sqlmsvr.exe這樣比較容易迷惑人的名字，可是服務(wù)名沒有改，還是很容易就被識破。 入侵者把遠(yuǎn)程終端的端口和顯示名稱及描述都改了，可是服務(wù)名稱還是沒有改到，所以并不難找出來。 服務(wù)名稱還是把入侵者出賣了，找到這些后門后，先停服務(wù)，再把啟動類型改為禁用！ 接下來我們就要把我們進(jìn)來時的漏洞堵上，到google搜下，這是有關(guān)ＭＳＳＱＬ這個溢出漏洞補(bǔ)丁的相關(guān)信息：
廠商補(bǔ)丁：Microsoft已經(jīng)為此發(fā)布了一個安全公告（MS02-039）以及相應(yīng)補(bǔ)丁:
MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable CodeExecution
(Q323875)鏈接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
補(bǔ)丁下載：* Microsoft SQL Server 2000:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

下載后展開，得到ssnetlib.dll這個文件，這時只要dir ssnetlib.dll /s找出主機(jī)中所有的老ssnetlib.dll這個文件，改名后以新的ssnetlib.dll替換掉老ssnetlib.dll就把MSSQL這個溢出漏洞補(bǔ)上了。 命令行下：query user，用戶是guest，嗯，估計是被克隆過的用戶。 查下是不是，果然！感覺補(bǔ)漏工作應(yīng)該做得差不多了，也是時候跟入侵者say byebye了～ 命令行下：net user guest /active:no，把guest這個用戶禁用。 命令行下：logoff 1。 入侵者已經(jīng)被我們踢出去了，現(xiàn)在是檢驗(yàn)我們勞動成果的時候了，靜靜地netstat –an，看入侵者是否還能重新進(jìn)來，過了好一會，發(fā)現(xiàn)他連接到主機(jī)1433端口，而且guest用戶又被重新激活，奇怪了，明明ＭＳＳＱＬ溢出漏洞已經(jīng)補(bǔ)上了啊，。難道入侵者在ＭＳＳＱＬ中留了后門？不會啊，都是幾個很正常的用戶。思考中……哦！對了，入侵者可能自行改了ＳＡ的密碼，然后再利用ＳＡ的xp_shell重新取得權(quán)限！好，既然我們想到了這步，就把ＳＡ的xp_shell也去掉，斷入侵者的后路！ 要把ＳＡ這類用戶的xp_shell去掉，要得到xp_shell，就得調(diào)用到xplog70.dll這個文件（ＳＱＬ９７下是xpsql70.dll），那么我們只要把這個文件給改名了，那么就無法得到xp_shell，命令行轉(zhuǎn)到C:\Program Files\Microsoft SQL Server\MSSQL\Binn，ren xplog70.dll xplog70.bak（ＳＱＬ９７下ren xpsql70.dll xpsql70.bak）。 搞定，再次把入侵者踢出主機(jī)，哈哈～這次入侵者就再也沒有進(jìn)來過了。有人會說，原來反入侵就這么容易，那可就錯了，我有位好友這樣說過：“起服務(wù)名，是一門藝術(shù)。”確實(shí)，當(dāng)你對電腦系統(tǒng)有了一定的認(rèn)識后，服務(wù)名和顯示名稱和描述幾乎可以起得以假亂真，即使管理員起了疑心，但也決不敢輕易卸載服務(wù)。 好了，反入侵告一段落，也到了我們該走的時候了。日志該改的就改，好好擦下自己的腳印，反入侵時上傳的程序創(chuàng)建的文件夾記得別忘了刪，創(chuàng)建的用戶也得刪，網(wǎng)管可分不清誰是誰。即使咱們幫他補(bǔ)洞，可咱本質(zhì)上還是入侵者，呵呵～最后，在網(wǎng)站上找找網(wǎng)管的電子郵箱，寫個大概經(jīng)過給他，提醒他以后多多留意網(wǎng)絡(luò)安全方面的最新消息。

最新評論