オペレーティングシステムが侵入された後の修復過程
前書き:仕事の特殊性から、これらに触れること。この文章は簡単な侵入を分析するだけで、rootkiなどのカーネル級の木馬は持っていません。先ほど学校のある駅のシステム管理人になりました。3台のホストコンピュータを担当しています。まずチェックしてみます。ホストのskinディレクトリの下に怪しいファイルがあります。へへ,ちょうど就任して問題を発見して、にこにこして、よく表現します。このホストは侵入されていることは間違いない。操作:1システムは2003+iis 6.0を使用して、NTFSパーティションのフォーマット、権限の設定は正常です。Pcanywhere 10.0リモート管理。ページは動力文章システムを採用し、バージョンは3.5。他のサイトに接続して、ネット修正版を採用します。2テストで発見されましたが、元管理者はwebの安全に注意していませんでした。動力文章には重大なアップロードミスがありますが、補修していません。ネットのバージョン7.00 sp 2を動かして、しかし排除しないですでに侵入されました。すぐさま、徹底的にシステムを検査して、木馬を発見していません。ホストシステムの安全を確認します。ウェブで大量のwebshellを発見しました。掃除します。Iis 6.0ログなし!3修復のチェック(現在のwebシステムのバックアップ)A時間検索法:上記ファイルの最初の作成時間に基づいて、この時間以降に作成および変更されたすべてのファイルを検索します。また、未知のgif、jpg、asp、cerなどのフォーマットファイルが多く発見されました。ノートで発見を開けたら、全部asp木馬です。バックアップ、削除します。Bツールの検索法:手動で検索した後に、ワクチンソフトをインストールして、全面的にワクチンを駆除して、少しのasp木馬を除いて、その他の発見がありません。ユーザを確認し、異常がない。Cディスクを検査して、不明なファイルがありません。なお、侵入者はweb権限を獲得した後、さらに権限を高めていませんが、より隠し木馬の設置は排除されません。調査します。C時間検索法により、通常のaspファイルは一部変更されていることが分かりました。この中で、動力文章システム管理ページにコードが挿入され、管理者パスワードを明記して保存します。コードはネット掲示板の明文とパスワードコードを取得するのと同じです。他の修正されたaspファイルでは、動鮫のページの木馬、icefoxの一言である木馬、海洋木馬などが暗号化されています。D修復;このウェブシステムをバックアップして、データベースを抽出します。削除します数ヶ月前のバックアップのシステムを復元して、検査、木馬がありません!現在のデータベースをインポートします。動力文章アップロードソフトのaspファイルを削除し、注入防止コードを追加します。すべてのweb管理者のパスワードを変更し、すべてのシステム管理者のパスワードを変更します。pcanywhereをアップグレードして11.0にpcanywhereのパスワードを変更し、ipを制限します。iis 6.0ログを開きます。接続したウェブサイトのため、長期更新していないで、ウェブ管理者は連絡することができなくて、ルートを変更して、接続を取り除いて、予備!解析:ホスト権限の設定に問題があるため、侵入者は権限を高めることができないかもしれません。pcanywhereパスワードを取得したかもしれませんが、ホストは長期的にロック状態を維持しています。侵入者の技術はまだ浅いと推定される。彼が残した書類から分析する。webshellを取得した場合、cmdファイルをアップロードしましたが、権限設定が良いので、多くの情報を得ることができます。2003.bat xp 3389.exeなどのファイルをアップロードして、サーバー3389ポートを開きたいです。しかしやはり権限の問題のため、昇格することができません。Ps:1台のホストがpcanywhereをインストールすると、3389サービスを開始できなくなります。その主要ファイルはpcanywhereに置き換えられます。開けられません。他のファイルはプロセスを観察するために、サービスなどのツールをインストールし、より高い権限を得ていない場合には、管理者権限を取得するのに十分な情報が得られないと推定しています。唯一の注意は、pcanywhereのパスワードファイルは、everryoneが閲覧できるものです。*:Dockments and Settings All Usersappication DataSymartc、このディレクトリはeveroneで見られます。ここにはpcanywhereのパスワードファイル*.cifがあります。インターネットではパスワードビューアがありますが、11.0バージョンは確認できません。ふふ、アップグレードしてください。