一次入侵兼反入侵的实例

  同学给我先容了一个电子商务网站，由于本身读的就是电子商务专业，加上对网络安全比较感兴味，所以看了这样的好网站，当然要帮忙测试下网络安全啦，首先做下常见端口扫描，咦，有状态．．．．．．
  6129端口开了，6129是上段时间在网上比较流行的一个远程控制软件的端口，想想网管本身应该不会给本身主机装个这样的玩意儿吧。岂非．．．．．．．．嗯．．连续扫扫，调出流光，扫啊扫，建立空连接失败，没有弱口令，ＩＩＳ没有漏洞，ＭＳＳＱＬ连ＳＡ都改了密码．．．．．不会啊～这个网站防御步伐做的照旧蛮足的啊，怎么又像被人入侵过的痕迹呢？嗯．试试最近比较流行的谁人ＭＳＳＱＬ溢出漏洞，试试看．．．．．
  溢出乐成！进去了．．．．
  嗯嗯．．要是没有估计错的话，那么谁人远程控制软件就因此前的入侵者留下来的咯，作为一个电子商务网站，不能够有用地解决网络安全这个问题，难怪国人如今对网上交易还不大放心，既然云云，那就好事做究竟，帮网管把这主机的漏洞补上，堵了入侵者的后门，断了入侵者的后路．
  首先把要用到的东西都上传到目的主机下面去，建个IPC$管道，上传一些待会阐发要用到的东西，如mport.exe这个能检察历程对应端口的体积小却功效壮大东西．看下这主机有多少用户属于办理员组：
  根据经验，像backup$这类的用户就肯定是入侵者留下来的账号，由于在命令行下，像hacker$这样的用户名你用net user是看不到的，系统默认会隐藏掉，但是有个致命的缺陷，就是net localgroup则可以列出组中所有用户，无论加了$照旧没有加．接着连续判断其他用户的合法度．转到C:\Documents and Settings目录下，这个目录记录了已经在目的主机上登陆过的用户的一些信息：
  每个文件夹前面的创立日期可以给我们一点提示，办理员账号administrator创立于2002-02-01，除了webmaster是2002-11-19以外，其他的用户都比较接近，所以我们把重点放在webmaster下面，这时我们必要失掉更多有个这个账号的信息，net user webmaster，失掉此账号上次登陆时间是＂上次登录 2002/11/29 上午 08:44＂，也就是周五早上下班时间登陆的，再转向C:\Documents and Settings\webmaster\桌面>目录下：
  桌面上有几个常用的快捷方法，想想倒也蛮符合此账号webmaster的身份，再转到C:\Documents and Settings\webmaster\「开始」菜单\程序>目录下，也只是几个网管常用的东西连接，所以我们开端断定webmaster这个账号为合法账号，那么我们就撤除backup$这个用户：net user backiup$ /del．
  查完了用户，就轮到查查入侵者能否有在主机上留下特洛伊木马程序或是其他远程控制程序此类的后门，这时就要用到前面上传的mport.exe啦，实行下mport.exe，咦，又有环境：
  主机居然开了远程终端，并且被换在了2887端口而不是默认的3389端口，看来又是入侵者的杰作．
  命令行下：netstat –an看看如今都有谁连接到主机上：
  哈！真是巧，有人在连接终端，原来入侵者就在身边，那么补漏的工作更加刻不容缓，
  那么我们也登陆上终端看看，说不定会有新的发现．登上终端，输出刚刚本身加的账号，熟悉的桌面又展现眼前．连续我们的补漏工作，记得刚开始扫常见端口的时间主机开了80．查一查原来是台WEB发布办事器，主机上有5０来个网站，主机已经打了ＳＰ３，不存在idq/ida溢出，Unicode和二次解码漏洞也不存在，主目录设在了Ｅ盘下，也不用担心那几个默认的WEB共享文件夹，接着看看主机运转了哪些办事，根据以往的经验，凡是办事名开头的字母没有大写的，除了pcanywhere以外，都是入侵者本身留的后门或是其他另外什么．还有一些办事名没有改的远程控制软件一眼就可以看出来，像比较流行的Radmin：
  入侵者固然把办事端改成了sqlmsvr.exe这样比较容易利诱人的名字，可是办事名没有改，照旧很容易就被看破．
  入侵者把远程终真个端口和表现名称及形貌都改成了，可是办事名称照旧没有改到．所以并不难找出．
  办事名称照旧把入侵者出卖了．找到这些后门后，先停办事，再把启动范例改为禁用！！
  接下来我们就要把我们进来时的漏洞堵上，到google搜下，这是有关ＭＳＳＱＬ这个溢出漏洞补丁的相关信息：
  厂商补丁：
  Microsoft已经为此发布了一个安全公告（MS02-039）以及相应补丁:
  MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)
  链接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
  补丁下载：
  * Microsoft SQL Server 2000:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
  下载后，展开，失掉ssnetlib.dll这个文件，这时只需dir ssnetlib.dll /s找出主机中所有的老ssnetlib.dll这个文件，改名后以新的ssnetlib.dll替换掉老ssnetlib.dll就把MSSQL这个溢出漏洞补上了．
  命令行下：query user，用户是guest，嗯。。。。。。估计是被克隆过的用户
  查下是不是。。。。。
  公然！感觉补漏工作应该做得差未几了，也是时间跟入侵者say byebye了～
  命令行下:net user guest /active:no，把guest这个用户禁用。
  命令行下：logoff 1
  入侵者已经被我们踢出去了，如今是查验我们休息成果的时间了，悄然默默地netstat –an，看入侵者能否还能重新进来，过了好一会，发现他连接到主机1433端口，并且guest用户又被重新激活，稀罕。。。。。ＭＳＳＱＬ溢出漏洞已经补上了啊。。。。。岂非入侵者在ＭＳＳＱＬ中留了后门？不会啊。。。。。都是几个很正常的用户。。。。。思考中。。。。。。。哦！对了，入侵者大约自行改了ＳＡ的密码，然后再利用ＳＡ的xp_shell重新取得权限！好，既然我们想到了这步，就把ＳＡ的xp_shell也去掉，断入侵者的后路！！
  要把ＳＡ这类用户的xp_shell去掉，要失掉xp_shell，就得挪用到xplog70.dll这个文件（ＳＱＬ９７下是xpsql70.dll），那么我们只需把这个文件给改名了，那么就无法失掉xp_shell，命令行转到C:\Program Files\Microsoft SQL Server\MSSQL\Binn，ren xplog70.dll xplog70.bak（ＳＱＬ９７下ren xpsql70.dll xpsql70.bak）
  搞定，再次把入侵者踢出主机，哈哈～这次入侵者就再也没有进来过了。。。。有人会说，原来反入侵就这么容易，那可就错了，我有位摰友这样说过：＂起办事名，是一门艺术．＂确实，当你对电脑系统有了肯定的了解后，办事名和表现名称和形貌险些可以起得以假乱真，即使办理员起了疑心，但也决不敢轻易卸载办事．
  好了，反入侵告一段落，也到了我们该走的时间了，日记该改的就改，好好擦下本身的脚印，反入侵时上传的程序创立的文件夹记得别忘了删，创立的用户也得删，网管可分不清谁是谁，即使我们帮他补洞，可咱本质上照旧入侵者，呵呵～末了，在网站上找找网管的电子邮箱，写个大约颠末给他，提示他以后多多留意网络安全方面的最新音讯
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：