清除以服务启动DLL插入型木马 （1）

   前两天朋友的服务器被人挂马了，很可能服务器系统也被人植入了木马，朋友把排查木马的这个艰巨任务交给了我。最后成功地将服务器上的木马借助工具手工清除。(由于当时的过程没有记录下来，所以以下的操作过程是虚拟机搭建的win2003环境，模拟木马清除全过程)。

　　首先经过某个服务器版杀毒软件的一番扫描后，没有查出任何木马，但是这个完全不能确定服务器上没有被植入木马，接着查看进程，没有可疑的进程出现，查看进程只能对付一些没有插入进程的木马。最好的排查方式是查看端口，凌晨两点网站访问的人也十分少，索性关闭了IIS，以及所有可能进行网络连接的程序，通过冰刃1.22查看到了，一个对外连接的80端口开放，IIS已经关闭，服务器上也没有访问任何网站，显然这个80端口很可能是木马的对外连接。图1

  

　　图1

    而且很明显是svchost.exe这个进程打开了80端口，更可疑了，甚至可以判定，是某个DLL插入型木马插入到了svchost.exe这个进程，在以某个模块的身份运行。

　　很高兴的是，在此之前我经常让朋友备份服务器上的加载模块快照，在此时派上用场，通过这些快照可疑迅速的找到可疑的被加载的DLL模块。在这里说一下如何创建进程加载模块快照，在“开始”?“运行”里输入msinfo32.exe，紧接着片打开了一个程序窗口，接着按照下面的方式进行建立，在左侧下拉列表菜单中选择“软件环境”?“加载的模块”，就可以查看到所有进程加载的模块，如图2

 

   

　　图2

    
    然后点击下名称，使列表按照名称排列，都按照此方式，方便以后对照。

  之后在顶部的下拉菜单中选择“文件”?“导出”，将当前的列表导出为文本文件。这样就完成了备份，由于服务器配置完毕后很少在进行其他的软件安装，也很少更改当前的配置，所以这些被加载模块的名称一般是不变的。在这里还可以查看模块文件的创建日期等信息，对于一个隐蔽比较强的木马，一般在安装的时候都会把自身改成一个较早的文件日期，所以在查看文件创建信息的时候也没有查看到引起怀疑的信息。

　　接着拿出朋友以前备份的模块快照和当前的进行比对，发现了多了一个可疑的模块，名称为iasex，图3

 

 

　　图3

    
    用记事本记录下了这个这个模块的名称，在Windows任务管理器中搜索这个文件，没有找到任何文件，这也是很常见的情况，现在的木马都很难缠，不会这么轻易的就被查找出来的，当然更不会就这么轻易的放弃，接下来借助冰刃查看system32目录下的所有文件终于找到了一个名为iasex.dll的文件，如图4

 

   

　　图4

 

 

    这个文件在资源管理器中是搜索不到的。可以判定这个就是对比出来的被加载的模块。之后将这个文件复制出来。为了进一步确认一下这个文件到底是不是木马，可以用冰刃来查看打开80端口的svchost.exe所加载的模块里面是否有这个文件，查找过程过程：先在冰刃里记录打开80端口的svchost.exe的进程ID(图1中，进程ID为820)，之后在冰刃中查看进程，查看ID为820的进程，图5

　　图5