Web服务器被黑记

2010-02-08 10:45:22 作者:root 来源: 浏览次数:0 网友评论 0

http://unixhater.com/607.html
 一台由我管理的windows服务器在昨天被黑客入侵了,下面是我的笔记

一、发现异常

今天(2009.10.9)早上例行检查,登录一台web服务器时,360安全卫士提示有异常服务启动项

image001

通过服务管理器查看:
Net服务(伪装成拔号服务networks)主要文件:kmmhhx.dll

image003

Microsoft network hook server (伪装服务名Microsoft Network Www)主要文件268cfdf9.dll 被360识别为木马已清除(看名称是一个嗅探类黑客工具)

查看程序菜单发现有新安装程序WinPcap(这是一个抓包工具),安装时间是10月8号中午(用于配合下面提到的cain,该死的是我删的太快了,没注意具体安装时间)

image005

查看用户:多了一个隐藏用户hacker$为管理员权限,这时我已确认服务器被黑了

 

image007

查看日志:发现了大量dom异常,以及hackter$用户多次登录

image009

image011

360监控记录 (10月8号新加载了3个服务)

image013

360进程项:hacker$用户居然还处于登录状态

image015

image017

Net服务至少两个文件:Kmmhhx.dll Kmmhhx.key
Kmmhhx.key文件的内容如下

 

 

 

***以下为系统登录帐号和密码[2009-10-08 15:06:45]***

当前用户:hacker$ 用户密码:hacker%[<=]&[<=]$hacker

 

[2009-10-08 15:07:04] 自定义您的设置 - Windows Internet Explorer C:\Program Files\Internet Explorer\iexplore.exe

www.google.cn

cain

 

[2009-10-08 15:09:24] 建立新的下载任务 C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe

[<=][<=][<=][<=][<=][<=][<=][<=][<=][<=][<=][<=][<=]hacker$

***以下为系统登录帐号和密码[2009-10-08 16:24:42]***

当前用户:hacker$ 用户密码:hacker

 

[2009-10-08 16:25:39] 运行 C:\WINDOWS\Explorer.EXE

u[<=]cmd

 

可以看出,记录了迅雷下载两个程序的过程。一个server.exe,一个是cain

查看迅雷下载记录
image019

http://dq.onlinedown.net/down/setup_53494.zip 这个软件是cain & Abel v4.9.32(一个密码破解软件)

image021

http://221.205.99.178/server.exe,看时间就是那Www服务的可执行程序,ip查询为山西(是黑客真实IP吗?)

image023

黑客登录的网站,仅仅是连了google.cn,找了一下cain,再到华军,使用迅雷下载cain

image025

 

admin用户没有攻破

从我今天登录admin的还有360提示看,他没有破解到admin的密码,这是因为这个密码是个很复杂的密码,而且今天360还有提示木马,并且在最近使用文档里,最近使用程序里也都没有操作记录。

二、行动!这时我登录这个黑客账号(密码在Kmmhhx.key里)

先启用黑客的账号hacker$,再登录看看他还干了嘛,顺便把密码也改了

下面是他的桌面

image027

下面是他最近使用的程序

image029

远程桌面有一个记录是连接另一台DB服务器,可是貌似不成功(同样是因为强密码)

他的ie浏览历史记录

image031

软件删除了也不清空,刚才去我尝试他那个下载,可是80端口已经停了,没想回收站里还有。

image033

查看最近使用文件记录

14:39查看admin桌面(入侵后熟悉环境)
15:01下载server.exe,运行
15:09下载cain 15:10安装了cain  (与迅雷时间一致)
15:21 查看web.config(从下面得知是获得数据库连接密码)

image035

三、他进来究竟做了什么?----再次从日志入手

系统日志表明
异常是出现在8号14:07分日志多个DOM警告,

14:28分就已成功获得管理员权限(新加hacker$用户),启动用了安装服务14:38分安装停止

14:56分Net服务安装运行完毕

15:01分Www服务安装完毕(与server.exe对应)

15:10启用了网络嗅探(应该就是cain,与下面对应)

安全日志表明
14:28分新建一个用户hacker$ (查看用户主目录创建的时间,也是14:28)

最后一个记录是16:24

登录地址 都是127.0.0.1而不是特定的IP,说明什么呢?(是通过web shell控制?还是其它方法隐藏了IP)

应用日志表明
14:15时 ServU服务器提示在监听,难道是这个漏洞??(根据下面的网马时间看,入口不是这个)

14:26有.net警告,提示路径有非法字符

14:28在安装程序

15:19尝试登录数据库,失败一次(上面已说道,他为此查看了web.config,之后应该登录成功)

上面的日志让我注意了一下Serv-U

image037

image039

 

发现大量木马!

看来14:15时就已经中招了!!!网上查到有:goldsun serv-U提升权限asp利用工具(本来入侵后的用户一般是network service并没有管理员权限的,这就是serv-U没设管理密码的后果!)

先禁用ftp用户gc查找asp程序,发现木马:至少3个

image041

看得出14:03就已经传了木马上去了(index_up.aspx网马在这里!)时间14:03 (这是现在发现最早的了)

image043

接着又是ice.asp, Asp木马时间 14:15

image045

l.exe又是什么?  下载下来,运行发现是一个命令,类似于nc.exe 应该是FTP提权时使用的。

还有其它aspx木马,它们时间是14:04

image047

暂时未发现php木马,暂时先全部改名,移动

所有10.8更新过的文件

下面是一个黑客入侵系统期间更新过的文件(几乎就能确定他做了什么):惨不忍睹

image049

上传网马,增加FTP用户,通过serv-U并增加hacker$系统用户

详见:http://www.kejiait.com/html/heikegongfang/loudongruqin/2009/0331/1248.html

image051

image053

下载,运行各种木马,黑客工具,进行口令破解,嗅探

image055

image057

下面是D盘(数据盘)

image059

上传了一堆的gif,jpg木马

image061

看到打包文件,基本确认网站程序已经被窃取了!

四、最重要的是网马是怎么传上去的? 漏洞在哪?黑客又是谁?

发现10:56左右大量的与net有关的文件出现

image063

查看web日志:

访问日志里面大量猜测网站程序路径记录

……

大量访问fckeditor相关文件

221.205.99.178 - - [08/Oct/2009:13:47:50 +0800] "GET /fckeditor/editor/fckeditor.html?InstanceName=FCKeditor1&Toolbar=Default HTTP/1.1" 200 4146 "http://www.xxxxxxx.com/admin/Article/Add_Article.aspx?channelID=43" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" "-"

 

 

221.205.99.178 - - [08/Oct/2009:13:48:05 +0800] "POST /fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Image HTTP/1.1" 200 128 "http://www.xxxxxxx.com/fckeditor/editor/dialog/fck_image.html" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" "-"

。。。。

下面是尝试上传网马

222.210.114.11 - - [08/Oct/2009:13:54:20 +0800] "GET /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 500 279 "http://www.xxxxxxx.com/fckeditor/editor/dialog/fck_image/fck_image_preview.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" "-"

。。。多次get失败

222.210.114.11 - - [08/Oct/2009:13:56:08 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 500 279 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" "-"

多次post失败

221.205.99.178 - - [08/Oct/2009:13:59:39 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 200 1343 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" "-"

第一次post成功

 

221.205.99.178 - - [08/Oct/2009:14:03:21 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 200 95 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" "-"

 

124.115.215.164 - - [08/Oct/2009:14:03:46 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 200 269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; .NET CLR 2.0.50727)" "-"

124.115.215.164 - - [08/Oct/2009:14:03:55 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 200 745 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; .NET CLR 2.0.50727)" "-"

221.205.99.178 - - [08/Oct/2009:14:03:58 +0800] "POST /index_up.aspx HTTP/1.1" 200 12306 "http://www.xxxxxxx.com/index_up.aspx" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" "-"

(上传网马index_up.aspx到服务器上,与上面文件时间记录对应!)

124.115.215.164 - - [08/Oct/2009:14:04:17 +0800] "POST /userfiles/image/1.asp;1(1).jpg HTTP/1.1" 200 4853 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; iCafeMedia; .NET CLR 2.0.50727)" "-"

 

下面一大堆的木马在userfiles目录下面

image065

通过日志与网络查询,基本确认是通过fckeditor编辑器的上传漏洞将网马上传

Fckeditor最近漏洞

http://ckeditor.com/ 官方网站

http://www.nsfocus.net/index.php?os=&type_id=&keyword=FCKeditor&act=sec_bug&submit=+

网站的fckeditor版本号是多少?

http://www.xxxxxxx.com/fckeditor/editor/dialog/fck_about.html

image067

查看config.ascs设置允许上传

image069

根据网上漏洞利用(http://www.cnblogs.com/downmoon/archive/2008/05/23/1205784.html)得知:构造下列url

http://www.xxxxxxx.com/FCKeditor/editor/_del___filemanager/browser/default/browser.html?Type=image&Connector=connectors/aspx/connector.aspx

得到了恐怖的上传界面

image071

但是在这里需要猜测connector的路径,以及程序对url做了些限制,所以黑客也花费了较多时间,详见下面的日志

继续WEB日志分析

黑客应该是8号上午10:31分开始攻击,是使用工具去渗透,看是否有常用漏洞,,全都是asp程序常见漏洞,甚至可以看到dvbbs都试了(ip查询为陕西省宝鸡市电信)

image073

接下来是注入

image075

再接下来扫描fckeditor的漏洞

image077

之后再次注入渗透后,又回到扫描fckeditor的漏洞,这次恐怖的事情发生了,上面第一个url是可利用的(不知扫描工具是哪个,貌似效率挺高的)

image079

http://www.xxxxxxx.com/fckeditor/editor/_del___filemanager/browser/default/browser.html?Type=Image&Connector=%2Ffckeditor%2Feditor%2F_del___filemanager%2Fconnectors%2Faspx%2Fconnector.aspx

上面将尝试创建一个image目录成功!接着我通过按钮再建一个目录test成功!

image081

现在服务器上目录树是这样的

image083

接着我再上传文件,3.txt非法,改文件名上传成功

image085

黑客就是这样传了大量网马在userfiles目录下,那它又怎么传了aspx上去呢?

它是这样做的,先上传小马,实际上是一个asp的文件,但这个文件的文件名为1.asp;1(1).jpg

image087

最后将大马index_up.aspx上传上去了,就像这样

image089

大马上传完毕,一切都完了

image091

 

这个黑客又是谁?他的IP是哪个?

使用google.cn,从华军下载软件,显然是中国人。

从日志上可以判断出他使用了代理,还似乎使用了几个Ip在干扰视线,但我想真实IP在日志有的可能性较大,其中221.205.99.178是重点怀疑对象。在post上传程序中,这个IP也很活跃,而且起了关键作用,黑客程序是从这个地方下载的,一般说代理不提供文件存放,另外我在http://www.myipneighbors.com/search/check查询到没有域名,也就是说不是www服务器,没有肉鸡的可能(当然现在访问http://221.205.99.178也不行,但是ping是可以的)

C:\Users\chris>telnet 221.205.99.178 80

正在连接221.205.99.178...无法打开到主机的连接。 在端口 80: 连接失败

C:\Users\chris>ping 221.205.99.178

正在 Ping 221.205.99.178 具有 32 字节的数据:

来自 221.205.99.178 的回复: 字节=32 时间=188ms TTL=52

来自 221.205.99.178 的回复: 字节=32 时间=187ms TTL=52

还需要继续分析日志,但如果他全部使用代理(肉鸡)呢?

 

五、处理:

备份当天相关日志

注销其hacker$登录(通过任务管理器)并禁用hacket$用户

禁用3个新增的服务net,hookserver,rpcapd

删除wincap,cain黑客工具,使用360清除hookserver文件的dll

Net服务停不了,先手动删除文件

暂时先将fckeditor下面的filemanager重命名,移动

暂时先重命名userfiles目录,移动

禁用黑客ftp账号
暂时先禁用FTP服务

Serv-U加管理密码

清除各种asp,aspx网马

更改防火墙,以及全部服务器的admin密码

其它服务器也作详细检查

更改数据库密码

六、总结

黑客入侵过程:利用一个漏洞上传网马,新增ftp用户, 提权新增管理员用户,并窃取文件,破解,嗅探局域网其它服务器,手法极其老练。

以前总以为我在系统级的安全方面做不算太差,更新微软更新漏洞补丁,使用硬件网络防火墙。服务器连在这个硬件防火墙上,仅开有限端口,但这次都没有用,因为这里是通过80端口,防火墙被绕过。而强密码在本次被黑起了很大重要,其实服务器不仅是强密码,而且用户名也改了,所以暴力破解可能性几乎为0,但是服务器上还有一个极其大的漏洞,现在想起来我还胆寒。那是为了方便内网复制文件,微软防火墙关闭了,这还不算,更大的隐患是:我其实已经使用了网上邻居的记住密码,连防火墙登录我都记住了密码!也就是攻破了这台WEB服务器,其实后面几台也完了!幸亏黑客没有注意到,还在那里傻傻嗅探,暴力破解。

现在的安全已经从操作系统底层到上层应用转移了,也就是说web应用程序的安全,在本例中就是对上传的文件名过滤上,出了很大问题。程序员为了方便随意拿一些开源的或其它不开源的软件去使用,然而却不知道更新,我也根本就没去注意,导致了这次问题。

总之,这次被黑给了我教训,也算是吃一堑长一智吧。从这次入侵的分析让明白了使用一些工具能够极大的提高工作效率,如一个好的文件搜索工具,日志分析工具。还有就是要熟悉黑客常用技术与黑客常用工具,不然别人做了什么,运行了什么软件都一无所知,那怎么能安全呢?

===========================update=======================

fckeditor更新到最新版本,并彻底关闭文件上传功能。
关键词:服务器fckeditor

相关文章

[收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章