Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> オペレーティングシステムが侵入された後の修復プロセス

オペレーティングシステムが侵入された後の修復プロセス

  
はじめに:仕事の特殊性のため、これらのことにアクセスする。この記事は単純な侵入を分析するだけで、rootkiのようなカーネルレベルのトロイの木馬は持っていません!マスターは参照目的のみで
テキストのために、笑った:3つのホストを担当する学校のシステム管理者のステーションは、不審なファイルが存在するの下にホストスキンディレクトリを見つけるために、最初に確認したときだけ。おお、ちょうどあなたが仕事にいるとき問題を見つけた、ねえ、よく実行します。このホストが危険にさらされていることは確実です。動作:システムは2003 + iis6.0、NTFSパーティションフォーマットを採用し、許可設定は正常である。 Pcanywhere 10.0リモート管理。このページはPower Article System、バージョン3.51によって供給されています。別のWebサイトを接続して、修正版のネットワークを使用してください。

2出会うテスト、かつての管理者は、Webセキュリティに注意を払っていません。パワード記事には深刻なアップロードの脆弱性があり、パッチは適用されません。動的ネットワークバージョン7.00sp2、しかしそれがハッキングされたことを排除するものではありません。すぐにシステムは徹底的に検査され、トロイの木馬は見つかりませんでした。ホストシステムのセキュリティを決定します。しかし、ウェブ上にたくさんのウェブシェルが見つかりました。 Iis6.0ログ記録なし!3チェックと修復(現在のWebシステムのバックアップを作成します)A時間検索方法:上記のファイルの最も早い作成時刻に従って、この時間を検索して作成および修正します。すべてのファイル不明なgif、jpg、asp、cer、その他の形式のファイルも多数見つかりました。メモ帳でそれを開き、aspトロイの木馬として見つけてください。バックアップ、削除

Bツールの検索方法:手動た後見つけ、アンチウイルスソフトウェアをインストールし、包括的なアンチウイルス、ASPトロイの木馬炎は、他の調査結果のごく一部を除いて。ユーザーを確認してください。例外はありません。 Cドライブを確認してください。ファイルがありません。侵入者がWebのアクセス許可を取得した後、アクセス許可をさらに強化することはしていませんが、隠れたトロイの木馬のインストールを除外していないことを説明します。確認してください。

C時間に基づく検索方法は、いくつかの通常のASPファイルが変更されている見つけます。その中でも、動的記事システム管理ページがコードに挿入され、管理者パスワードがプレーンテキストで保存されます。このコードは、クリアテキストフォーラムのパスワードファイルに似ています。サメ可動トロイの木馬、icefoxワード馬、海の馬に見られる他ので
ASP変更されたファイルには、暗号化されます。

D修復、データベースを抽出するために、このウェブ・バックアップ・システム。削除する数ヶ月前にバックアップしたシステムを復元します。現在のデータベースをインポートします。動的記事アップロードソフトウェアのaspファイルを削除し、アンチインジェクションコードを追加します。すべてのウェブマスターパスワードとすべてのシステム管理者パスワードを変更するpcanywhereのパスワードを変更してipを制限するには、pcanywhereを11.0にアップグレードします。 iis6.0ログレコードを開きます。リンク先のWebサイトは長い間更新されていないため、Web管理者は連絡を取ったり、パスを変更したり、接続を削除したりすることはできません。分析:ホストのアクセス許可設定により、侵入者はアクセス許可を昇格できない可能性があります。 (pcanywhereのパスワードは入手された可能性がありますが、ホストは長期間ロックされたままです。侵入者の技術はまだ浅いと推定されます。)それは彼が残した文書によって分析されます。 webshel​​lの場合、彼はcmdファイルをアップロードしましたが、許可はより良く設定されています。 2003.bat xp3389.exeなどのファイルをアップロードし、サーバーポート3389を開きたい。ただし、許可の問題により、改善することはできません。 Ps:ホストがpcanywhereをインストールすると、3389サービスを開くことができなくなり、そのメインファイルはpcanywhereに置き換えられます。開けられません。他のファイルは、プロセスの表示、サービスのインストールなどのツールです。より高い特権を取得しないと、取得した情報は管理者権限を取得するのに十分ではないと推定されます。注意する必要がある唯一のことは、pcanywhereのパスワードファイルが全員に使用可能であることです。*:Documents and SettingsすべてのUsersApplication DataSymantecでは、pcanywhereパスワードファイル* .cifを含むすべてのユーザーにこのディレクトリが表示されます。見えません。ああ、それをアップグレードしてください。
Copyright © Windowsの知識 All Rights Reserved