朋友的站点流量很大,这不,站做大了,黑客就来了……
X日,朋友打电话给我,说站被黑了。接着我打开页面看了下,见所有的页面都自动弹出一个比较恶心的窗口,郁闷。查看页面文件源代码,发现里面没有一个陌生的调用。郁闷中!
这样子怎么行,要朋友说我技术不过关?——No!
我问他文章调用页面一共调用了几个js,然后挨个分析。我是这么想的:既然源代码没有陌生的调用,那么问题肯定在本地的服务器。我在浏览器打开 http://www.myxust.net/../../js/hacker.js、http://www.myxust.net/../../js/heike.js这样子形式的链接,一个个提示我下载,最后一个却转向了另一个页面!htt://www.hacker.com.cn/pop.js!一定就是这个的问题了!
说到这里,可能有的朋友会问,怎么会有这样子的问题呢?我点的是本地的链接,怎么转到人家网站去了?且听游侠细细道来:
在微软的IIS里面,有这样一个选择项,可能很多朋友没有注意过,在IIS选项的“主目录”-“此资源的内容来自”-“重定向到URL”:
看到了?即使你输入你的网址,你的网址也可以转到这个js文件,这个是对整个网站的重定向,你也可以用下面的这个对单个文件重定向:
在IIS管理里面,找一个你要重定向的文件,点右键,属性。出现下面的窗口:
这样子,随便你怎么输入aboutus.html这个文件,都会转到www.myxust.net的页面去,黑客用也应该是这种方法了。既然他能做到这一步,推测他要么是高人,可以在CMD下面搞定,要么,也是最大的可能,就是和我一样,用GUI搞定。这么说,最大的可能是他已经可以完全操控这台计算机了,并且有基于GUI的远程控制工具。
朋友打电话问托管机房的管理员,管理员也证实了我上面的推测。于是,受朋友委托开始了“征服”这台服务器的路程!
渗透:
当然,既然朋友的网站在上面放着,当然不能做的很过分。不过既然人家黑客可以搞定,当然我也必然可以搞定。开始行动。
首先用老兵的whois查询工具,发现上面绑定了七八个网站,依次打开,最终只有两个可以显示的。就是朋友的这个,另外一个是某地政府的信息网。朋友的站用的系统我很熟悉,应该不存在什么问题,那么就对不住这个政府的了……
网站是asp的,用NBSI居然没有发现漏洞,出乎我的意料。但是有论坛……
可惜,是DVBBS 7 SP2的,好像截止现在还没有最新的漏洞出来。郁闷。
随手输入username:admin,password:admin888——居然进去了!天啊,中奖了!
好的,进入后台吧,输入这个用户名、密码却提示不正确,看来是被修改过了。没有办法了?No!输入:http://www.gov.com/data/dvbbs7.mdb游侠的TT就提示我下载数据库了,到这里是不是很多读者羡慕我的运气了啊?呵呵,没办法,命好!^_^
发现有两个管理员,一边复制了md5字段用破解工具进行破解,一边想别的办法,因为暴力破解实在要*运气,虽然命好,但是“上帝是不会永远把所有的运气都给你的”,还是要自力更生,就算艰苦也要奋斗!
打开数据库,找到Dv_log表,在l_content这一列里面搜索“oldusername”找到下面的这个:
------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=%B8%FC+%D0%C2”
------------------------------------------
oldusername、username2、password2,看到了吧?嘿嘿,这个可是后台登陆的用户名和密码啊。赶快登陆哦!
对了,现在先在前台上传一个改名.gif的木马,进入后台用数据库备份的方法改成.asp的,详细方法偶也不说了,看图操作。呵呵
这样子我们就有了一个在aspmm目录下面的名为ok.asp的木马。
拿这个webshell查看硬盘,却一片空白。很明显的设置了目录的访问权限。
怎么办?上传个东东再说。随便建立个asp文件,上传,没有问题。好,有戏!看来要用ServU了?呵呵。试试看:
晕,怎么会这样子?设置过了哦,不过,可能是ServU修改的,先上传一个提升工具再说。
上传serv-u.exe,用webshell执行,居然有提示信息……嘿嘿。那就不客气了!下面的截图是这个权限提升工具的利用方法。偶直接调用cmd添加管理员帐号并添加到管理员组。
先执行:servu.exe "cmd.exe net user SQLBackUper ****usa /add"
再执行:servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"
因为我知道这台机子装了SQL Server,所以起了这么个迷惑人的名字。现在就有了管理员权限了!接着用 3389.exe 远程开启终端服务。终于搞定了……
偶不急先登陆上去,webshell用习惯了,速度很快,比终端服务快一些。看下面的图:
这个是在命令行下面解除对用户访问权限的命令,我执行:
servu.exe "cacls.exe c: /E /T /G everyone:F"
这样子解除了C盘浏览的限制,当然我现在可以解除所有盘的限制嘿嘿
查看C盘下面,果然是装了Serv-U,不过版本却是6.0,晕的厉害,难道这个5.1提升工具也可以提升6.0的?幸福哦。
现在好了,用终端服务连接了。
分析:
上去之后,发现在我上传webshell的那个站点目录下面,还有几个webshell,估计黑客早就来过好几次了。赶快删掉DVBBS备份数据库的文件,改名数据库。这样子好一些了。
再看其它的目录,因为只开了两个网站,倒也没有多少可以测试的。权限重新设置,因为我们现在有管理员帐号了。配置回原来的权限。封锁c、d、e盘的iis帐号浏览权限。
现在想想,黑客就是像我这样子,拿到一个webshell,提升权限搞到管理员,然后用iis的url重定向功能把朋友站的正常js文件转向到他的恶意站点,没错的了,就是这样子
现在开始清理战场。
删掉自己的所有日志文件,估计管理员也不会来看,所以没有必要搞掉仅仅属于自己的那一部分,给升级下杀毒软件。因为是帮朋友,所以没有必要留下后门什么的。^_^
然后呢?既然知道黑客是用GUI进来的,当然要查黑客的踪迹!
检测各种RootKit,没有发现异常;
检测启动项,【发现异常】;
恩,有Radmin的踪迹哦,打开注册表,在“KKEY_LOCAL_MACHINE”下面的Software和System下面均发现有Radmin的信息,干掉。然后找到Radmin的文件删掉。
并且,在Radmin的信息里面,有它保存日志的地方,就在C盘根目录下面,文件名是logfile.txt,各位黑客兄弟,记得黑站之后用了Radmin一定要修改日志到一个隐秘的文件夹啊!下面是内容:
嘿嘿,这下子被偶搞到了吧?你的连接时间、连接的IP都在这里,还想跑?嘿嘿……
如果有时间,去看看Windows的日志也是个好主意,不过太多了,偶怕怕。
反击:
其实在上面,我们已经做了一些加固,也就是相当于反击黑客的动作,下面我们继续:
服务器装有BlackICE防火墙,先添加一条规则,干掉这个IP再说。
在“类型”这里,添加TCP、IP协议,对221.237.66.91进行过滤,永远拒绝。这样子黑客的IP就没法访问这台服务器了。当然,可以设置更加严格的策略,只允许FTP、WEB和终端服务通过,这个也可以通过Windows的策略或TCP/IP筛选来实现。
刚才我们已经在上面对事件分析的时候做了一些设置,再加上现在的设置,现在基本差不多了。
恩,还有SQL Server,被人家用了这个可不是好玩的,修改下:
use master
sp_dropextendedproc 'xp_cmdshell'
改名黑客可能利用的文件:xpsql70.dll
好了,做好了这些基本差不多了,相信没有什么问题了,可以放心的去睡觉喽!^_^
关于上面的文字:
发表于:2005年5月《黑客防线》
版权:1、归发表该文的杂志社;2、归本文作者。
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
