序幕:
朋友的站點流量很大,這不,站做大了,黑客就來了……
X日,朋友打電話給我,說站被黑了。接著我打開頁面看了下,見所有的頁面都自動彈出一個比較惡心的窗口,郁悶。查看頁面文件源代碼,發現里面沒有一個陌生的調用。郁悶中!
這樣子怎么行,要朋友說我技術不過關?——No!
我問他文章調用頁面一共調用了幾個js,然后挨個分析。我是這么想的:既然源代碼沒有陌生的調用,那么問題肯定在本地的服務器。我在瀏覽器打開 http://www.myxust.net/../../js/hacker.js、http://www.myxust.net/../../js/heike.js這樣子形式的鏈接,一個個提示我下載,最后一個卻轉向了另一個頁面!htt://www.hacker.com.cn/pop.js!一定就是這個的問題了!
說到這里,可能有的朋友會問,怎么會有這樣子的問題呢?我點的是本地的鏈接,怎么轉到人家網站去了?且聽游俠細細道來:
在微軟的IIS里面,有這樣一個選擇項,可能很多朋友沒有注意過,在IIS選項的“主目錄”-“此資源的內容來自”-“重定向到URL”:
看到了?即使你輸入你的網址,你的網址也可以轉到這個js文件,這個是對整個網站的重定向,你也可以用下面的這個對單個文件重定向:
在IIS管理里面,找一個你要重定向的文件,點右鍵,屬性。出現下面的窗口:
這樣子,隨便你怎么輸入aboutus.html這個文件,都會轉到www.myxust.net的頁面去,黑客用也應該是這種方法了。既然他能做到這一步,推測他要么是高人,可以在CMD下面搞定,要么,也是最大的可能,就是和我一樣,用GUI搞定。這么說,最大的可能是他已經可以完全操控這臺計算機了,并且有基于GUI的遠程控制工具。
朋友打電話問托管機房的管理員,管理員也證實了我上面的推測。于是,受朋友委托開始了“征服”這臺服務器的路程!
滲透:
當然,既然朋友的網站在上面放著,當然不能做的很過分。不過既然人家黑客可以搞定,當然我也必然可以搞定。開始行動。
首先用老兵的whois查詢工具,發現上面綁定了七八個網站,依次打開,最終只有兩個可以顯示的。就是朋友的這個,另外一個是某地政府的信息網。朋友的站用的系統我很熟悉,應該不存在什么問題,那么就對不住這個政府的了……
網站是asp的,用NBSI居然沒有發現漏洞,出乎我的意料。但是有論壇……
可惜,是DVBBS 7 SP2的,好像截止現在還沒有最新的漏洞出來。郁悶。
隨手輸入username:admin,password:admin888——居然進去了!天啊,中獎了!
好的,進入后臺吧,輸入這個用戶名、密碼卻提示不正確,看來是被修改過了。沒有辦法了?No!輸入:http://www.gov.com/data/dvbbs7.mdb游俠的TT就提示我下載數據庫了,到這里是不是很多讀者羨慕我的運氣了啊?呵呵,沒辦法,命好!^_^
發現有兩個管理員,一邊復制了md5字段用破解工具進行破解,一邊想別的辦法,因為暴力破解實在要*運氣,雖然命好,但是“上帝是不會永遠把所有的運氣都給你的”,還是要自力更生,就算艱苦也要奮斗!
打開數據庫,找到Dv_log表,在l_content這一列里面搜索“oldusername”找到下面的這個:
------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=%B8%FC+%D0%C2”
------------------------------------------
oldusername、username2、password2,看到了吧?嘿嘿,這個可是后臺登陸的用戶名和密碼啊。趕快登陸哦!
對了,現在先在前臺上傳一個改名.gif的木馬,進入后臺用數據庫備份的方法改成.asp的,詳細方法偶也不說了,看圖操作。呵呵
這樣子我們就有了一個在aspmm目錄下面的名為ok.asp的木馬。
拿這個webshell查看硬盤,卻一片空白。很明顯的設置了目錄的訪問權限。
怎么辦?上傳個東東再說。隨便建立個asp文件,上傳,沒有問題。好,有戲!看來要用ServU了?呵呵。試試看:
暈,怎么會這樣子?設置過了哦,不過,可能是ServU修改的,先上傳一個提升工具再說。
上傳serv-u.exe,用webshell執行,居然有提示信息……嘿嘿。那就不客氣了!下面的截圖是這個權限提升工具的利用方法。偶直接調用cmd添加管理員帳號并添加到管理員組。
先執行:servu.exe "cmd.exe net user SQLBackUper ****usa /add"
再執行:servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"
因為我知道這臺機子裝了SQL Server,所以起了這么個迷惑人的名字。現在就有了管理員權限了!接著用 3389.exe 遠程開啟終端服務。終于搞定了……
偶不急先登陸上去,webshell用習慣了,速度很快,比終端服務快一些。看下面的圖:
這個是在命令行下面解除對用戶訪問權限的命令,我執行:
servu.exe "cacls.exe c: /E /T /G everyone:F"
這樣子解除了C盤瀏覽的限制,當然我現在可以解除所有盤的限制嘿嘿
查看C盤下面,果然是裝了Serv-U,不過版本卻是6.0,暈的厲害,難道這個5.1提升工具也可以提升6.0的?幸福哦。
現在好了,用終端服務連接了。
分析:
上去之后,發現在我上傳webshell的那個站點目錄下面,還有幾個webshell,估計黑客早就來過好幾次了。趕快刪掉DVBBS備份數據庫的文件,改名數據庫。這樣子好一些了。
再看其它的目錄,因為只開了兩個網站,倒也沒有多少可以測試的。權限重新設置,因為我們現在有管理員帳號了。配置回原來的權限。封鎖c、d、e盤的iis帳號瀏覽權限。
現在想想,黑客就是像我這樣子,拿到一個webshell,提升權限搞到管理員,然后用iis的url重定向功能把朋友站的正常js文件轉向到他的惡意站點,沒錯的了,就是這樣子
現在開始清理戰場。
刪掉自己的所有日志文件,估計管理員也不會來看,所以沒有必要搞掉僅僅屬于自己的那一部分,給升級下殺毒軟件。因為是幫朋友,所以沒有必要留下后門什么的。^_^
然后呢?既然知道黑客是用GUI進來的,當然要查黑客的蹤跡!
檢測各種RootKit,沒有發現異常;
檢測啟動項,【發現異常】;
恩,有Radmin的蹤跡哦,打開注冊表,在“KKEY_LOCAL_MACHINE”下面的Software和System下面均發現有Radmin的信息,干掉。然后找到Radmin的文件刪掉。
并且,在Radmin的信息里面,有它保存日志的地方,就在C盤根目錄下面,文件名是logfile.txt,各位黑客兄弟,記得黑站之后用了Radmin一定要修改日志到一個隱秘的文件夾啊!下面是內容:
嘿嘿,這下子被偶搞到了吧?你的連接時間、連接的IP都在這里,還想跑?嘿嘿……
如果有時間,去看看Windows的日志也是個好主意,不過太多了,偶怕怕。
反擊:
其實在上面,我們已經做了一些加固,也就是相當于反擊黑客的動作,下面我們繼續:
服務器裝有BlackICE防火墻,先添加一條規則,干掉這個IP再說。
在“類型”這里,添加TCP、IP協議,對221.237.66.91進行過濾,永遠拒絕。這樣子黑客的IP就沒法訪問這臺服務器了。當然,可以設置更加嚴格的策略,只允許FTP、WEB和終端服務通過,這個也可以通過Windows的策略或TCP/IP篩選來實現。
剛才我們已經在上面對事件分析的時候做了一些設置,再加上現在的設置,現在基本差不多了。
恩,還有SQL Server,被人家用了這個可不是好玩的,修改下:
use master
sp_dropextendedproc 'xp_cmdshell'
改名黑客可能利用的文件:xpsql70.dll
好了,做好了這些基本差不多了,相信沒有什么問題了,可以放心的去睡覺嘍!^_^
關于上面的文字:
發表于:2005年5月《黑客防線》
版權:1、歸發表該文的雜志社;2、歸本文作者。
如承蒙轉載請注明發表于該期雜志,以及作者姓名,謝謝合作!
刪掉自己的所有日志文件,估計管理員也不會來看,所以沒有必要搞掉僅僅屬于自己的那一部分,給升級下殺毒軟件。因為是幫朋友,所以沒有必要留下后門什么的。^_^
然后呢?既然知道黑客是用GUI進來的,當然要查黑客的蹤跡!
檢測各種RootKit,沒有發現異常;
檢測啟動項,【發現異常】;
恩,有Radmin的蹤跡哦,打開注冊表,在“KKEY_LOCAL_MACHINE”下面的Software和System下面均發現有Radmin的信息,干掉。然后找到Radmin的文件刪掉。
并且,在Radmin的信息里面,有它保存日志的地方,就在C盤根目錄下面,文件名是logfile.txt,各位黑客兄弟,記得黑站之后用了Radmin一定要修改日志到一個隱秘的文件夾啊!下面是內容:
嘿嘿,這下子被偶搞到了吧?你的連接時間、連接的IP都在這里,還想跑?嘿嘿……
如果有時間,去看看Windows的日志也是個好主意,不過太多了,偶怕怕。
反擊:
其實在上面,我們已經做了一些加固,也就是相當于反擊黑客的動作,下面我們繼續:
服務器裝有BlackICE防火墻,先添加一條規則,干掉這個IP再說。
在“類型”這里,添加TCP、IP協議,對221.237.66.91進行過濾,永遠拒絕。這樣子黑客的IP就沒法訪問這臺服務器了。當然,可以設置更加嚴格的策略,只允許FTP、WEB和終端服務通過,這個也可以通過Windows的策略或TCP/IP篩選來實現。
剛才我們已經在上面對事件分析的時候做了一些設置,再加上現在的設置,現在基本差不多了。
恩,還有SQL Server,被人家用了這個可不是好玩的,修改下:
use master
sp_dropextendedproc 'xp_cmdshell'
改名黑客可能利用的文件:xpsql70.dll
好了,做好了這些基本差不多了,相信沒有什么問題了,可以放心的去睡覺嘍!^_^
關于上面的文字:
發表于:2005年5月《黑客防線》
版權:1、歸發表該文的雜志社;2、歸本文作者。
如承蒙轉載請注明發表于該期雜志,以及作者姓名,謝謝合作!
