蛛丝马迹揪出入侵你服务器凶手

　　最近朋友公司的服务器被黑客入侵,让我过去帮忙看看。于是乎有了这篇文章。

　　首先我们当然是要了解下目前服务器被入侵感染及破坏的情况了：

　　据朋友说：

　　1. 服务器工作异常，网络非常缓慢

　　2. 服务器上经常出现病毒和木马的提示

　　3. 服务器上的日志有被删除的迹象

　　4. 有被挂马的迹象

　　5. 次日出现网站文件夹被删除

　　于是开始着手分析：

　　第一个想到的当然是分析日志，但是日志已经被删除了。而且使用数据恢复工具进行恢复也没成功，只能pass。然后想到查看一些不容易被注意的日志----杀毒软件的查毒日志：

　　发现有大量的下载后门木马及黑客工具的记录：包括135扫描工具、灰鸽子、Pcshare、S扫描器等…..

　　从这里我们分析得到这个黑客有抓肉鸡的习惯，入侵服务器的目的之一就是为了利用服务器的带宽来抓更多的个人PC肉鸡。当然我们也不排除他会使用我们的服务器去DDOS攻击别人。

　　但是通过net user命令以及查看系统注册表的结果得出。这些帐户都已经不存在了，建立成功并登陆过以后就被删除了。所以目录文件还在。

　　那么黑客近期的登陆是凭什么呢?于是乎猜测黑客已经得到了服务器管理员帐号的登陆密码。所以试图查看最近是否有漏删除的登陆记录。

　　果然发现这条登陆记录。来自四川

　　打开访问发现是一个正常的网站，有可能是同样那个入侵者的肉鸡做为跳板登陆的。那么这个入侵者是非常小心的了。要追踪到他的各种途径都被他狡猾和熟练的技巧阻断了。难道就这样放弃了吗?当然不会!那就不是我的作风了!

　　再深入排查的过程中我发现，服务器出现了种植过AV终结者一类病毒的特征——无法显示隐藏文件夹。所以猜想入侵者在提权或者企图渗透的过程中曾经再服务器上运行过下载者一类的木马。于是上网搜索了修复显示隐藏文件的注册表文件。运行修复后对所有可能的隐藏文件及文件夹进行了排查。最后再D:\RECYCLER (垃圾回收站临时目录) 下发现了一个隐藏的文件。

　　文件名为空，大小为246KB。猜测可能是灰鸽子。于是想到要本地运行监听端口。为防万一不是灰鸽子，首先对木马进行了脱壳。

　　脱壳后再Uedit32下查看发现了Autorun.inf 的代码。

　　所以可以肯定这个文件是木马下载者。遗憾的是没办法再程序里发现下载木马的地址。后面想到了抓包截取。于是搬出我们经常用来测试软件是否存在后门时使用的：影音嗅探专家

　　接着就是冒险本机运行了下载者：

　　抓包得到了网址

　　hxxp://user.free2.7716*.net/zwj/Ip.txt

　　hxxp://lmhk.go1.icpc*.com/Ip.txt

　　这些地址。知道的人一看就明白。这个是肉鸡上线用的反弹地址的保存文件

　　那么这个我们前面分析有抓肉鸡习惯的入侵者他为了肉鸡上线就必须填写他本机的真实IP

　　这次查询和前两天不大一样。但是都是安徽。这次地址更准确。

　　自此我们已经得到这个入侵者的重要信息了----IP，如果我们现在报警，然后让警方查询这个时段电信部门的记录。就可以知道这个时间，是谁家的宽带正在使用这个IP，接着就可以上门请他吃饭了(牢饭)o(∩_∩)o…

　　引用某“代表“的话——不是不抓你，而是值不值得抓你。当你造成的损失到一定程度的时候，我们会不惜一切代价去追捕你!若要人不知，除非己莫为!所以再这里奉劝各位黑客做事情多多小心，千万不要就乱动人家的网站哦。把黑客攻防技术用在正当用途哦!

　　接着我们来分析下朋友服务器出现的漏洞大致有哪些才导致了这次入侵事件：

　　1. 磁盘权限没设置过依然Everyone，可以任意跳转目录

　　2. 系统长期没有维护不安装补丁(我上去时发现依然2003 sp1一 一!)

　　3. 安装了Serv-U并且没有修改过管理端口和默认密码，可以提权

　　4. 安装了Mssql\Mysql\Tomcat 貌似还是弱口令

　　5. 开放3389

　　6. 没有防火墙软件或者硬件，无法阻断反弹木马、利用下载运行木马，或者执行命令让服务器浏览特定网页提权等一系列的问题。再次简单列出是为了提醒大家以后多注意。