隨著信息技術(shù)的發(fā)展,越來越多的人都喜歡用計算機(jī)辦公,發(fā)郵件,建設(shè)自己的個人站點,公司建立自己的企業(yè)站點,政府也逐漸的采取了網(wǎng)上辦公,更好的為人民服務(wù),銀行和證券機(jī)構(gòu)也都開始依托互聯(lián)網(wǎng)來進(jìn)行金融和股票交易,但是隨著方便的同時也同時帶來了新的一些計算機(jī)網(wǎng)絡(luò)安全隱患,隨著司法機(jī)關(guān)的介入,我相信在不久的將來,網(wǎng)絡(luò)攻擊調(diào)查取證也會成為立法機(jī)構(gòu)必須要考慮設(shè)立的一門新的學(xué)科,目前來說開設(shè)這個的課程多在網(wǎng)絡(luò)警察和一些特殊機(jī)關(guān),現(xiàn)在我來給大家講下我親身經(jīng)歷并參與完成的一次取證過程,用事實來講述;
我一直從事病毒分析,網(wǎng)絡(luò)攻擊響應(yīng)相關(guān)的工作,這次應(yīng)好朋友的邀請,幫忙配合去協(xié)查幾臺服務(wù)器,我們來到了某XXX駐地,首先進(jìn)行例行檢查。經(jīng)過了1天左右的時間的檢查,其中用到了一些專用設(shè)備也包含自主編寫的工具以及第三方提供的勘察取證軟件,共發(fā)現(xiàn)問題主機(jī)服務(wù)器10臺,其中2臺比較嚴(yán)重,(以下用A服務(wù)器和B服務(wù)器來代替)和朋友商定后,決定帶回我們的實驗室,進(jìn)行專項深入分析。
習(xí)慣的檢查步驟操作:
服務(wù)器操作系統(tǒng)版本信息——>操作系統(tǒng)補(bǔ)丁安裝情況——>操作系統(tǒng)安裝時間,中間有沒有經(jīng)過進(jìn)行重新安裝——>服務(wù)器維護(hù)情況——>服務(wù)器上面安裝的軟件版本信息
日志檢查——IDS日志信息/IIS日志信息/系統(tǒng)日志信息
網(wǎng)站代碼審查——是否存在一句話木馬,源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本,配置的是否合理,配套的監(jiān)視是否全部打開
數(shù)據(jù)恢復(fù)——>利用專用數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù),恢復(fù)一些被刪除的日志信息和系統(tǒng)信息,曾經(jīng)安裝過的文件操作信息。
提取可疑文件(病毒、木馬、后門、惡意廣告插件)——在系統(tǒng)文件目錄利用第三方或者自開發(fā)軟件,對可疑文件進(jìn)行提取并進(jìn)行深度分析。
上述步驟是我個人總結(jié)的,有不妥的地方還請朋友們指正,介紹完理論,我們來實踐處理下這兩臺服務(wù)器。
A服務(wù)器檢查處理過程
該A服務(wù)器所裝的操作系統(tǒng)是Advanced 2000 server,服務(wù)器上安裝的有瑞星2008殺毒軟件,病毒庫已經(jīng)更新到最新版本。但是并沒有安裝網(wǎng)絡(luò)防火墻和其他系統(tǒng)監(jiān)視軟件,安裝的ftp服務(wù)器版本為server-u 6.0(存在溢出攻擊的威脅)
一 對原始數(shù)據(jù)進(jìn)行恢復(fù)
利用Datarecover軟件來恢復(fù)一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。進(jìn)行深度分析,把曾經(jīng)做過的格式化,以及在回收站中刪除過的文件恢復(fù)過來,但是遺憾的是成功拿下這臺服務(wù)器權(quán)限的黑客已經(jīng)做了專業(yè)處理,把他的一些痕跡進(jìn)行了全面清理,個人認(rèn)為他使用了日本地下黑客組織開發(fā)的專項日志清除工具,經(jīng)過我和助手的共同努力還是把系統(tǒng)日志恢復(fù)到當(dāng)年5月份。
二 手工分析可疑文件
在本服務(wù)器的c盤根目錄下面有一個sethc..exe 文件。這個文件是微軟自帶的,是系統(tǒng)粘制鍵,真實的大小應(yīng)為27kb,而這個文件為270kb,起初我以為是由于打補(bǔ)丁的原因。但是經(jīng)過翻閱一些資料和做比對之后,才知道這樣的文件是一個新開發(fā)的流行后門,主要用法:通過3389終端,然后通過5次敲擊shift鍵,直接調(diào)用sethc.exe而直接取得系統(tǒng)權(quán)限。隨后達(dá)到控制整個服務(wù)器,通常他還是通過刪除正常的一些c盤exe文件。然后把自己偽造成那個所刪除的exe文件名。造成一種假象。
這里我們提供解決方法如下:個人建議這個功能實用性并不高,建議直接刪除這個文件,如果有人利用這個手法來對你的服務(wù)器進(jìn)行入侵,那就肯定是有人做了手腳,可以第一時間發(fā)現(xiàn)黑客入侵行為,也可以作為取證分析的一個思路;在控制面板的輔助功能里面設(shè)置取消粘制鍵。
| 共3頁: 1 [2] [3] 下一頁 | |||||
|
