一个被入侵网站分析报告

原创 2001年09月25日 09:19:00
一个被入侵网站分析报告

[ 作者: sword_martin   添加时间: 2001-9-4 14:13:05 ]


来源:http://LinuxAid.com.cn
           
  注:这篇文章是我在浏览某个安全方面的论坛时偶尔发现的,这个哥们用给ISP兼职网络安全顾问的方式来换取免费上网。当然,他的工作是尽职尽力的,否则他也就不会发现这些问题了,他发现问题的过程及解决问题的方法对我们相当有借鉴性,然而有意思的是当他发现问题以后,ISP管理人员处理问题的态度。所以就在这里把这篇文章贴出来,希望能对您有所警示及借鉴。

   大约在9个月前,我给一家ISP做安全顾问,做为回报,我可以免费上网。我的主要工作是在网上检查ISP主机的安全漏洞、被破解的帐号等。他们的设备配置是很典型的ISP配置:用RedHat+Apache做WEB服务器,NT+IMAIL做邮件服务器,DNS服务器是用两台分别安装了Red Hat和OpenBSD的主机做的。
  我检查的第一台机器是运行Red Hat5.0的WEB服务器。这台机器是给他们的客户运行CGI程序并用来测试程序的。
   刚登录进去的时候,除了日志外其它的一切都看来正常。不知道什么原因,utmp和wtmp两个文件看起来被破坏了,而且只要我输入who或last命令,总是返回一大堆垃圾信息,在我把这两个文件清空后,程序返回的信息仍然象是受到了破坏,于是我怀凝机器中了特洛伊木马病毒。
  此时我还不知道倒底是特洛伊木马还是rootkits干的,我又仔细的在系统中查看了一番。终于在unshadowed的passwd文件中,我发现了这样一条记录:
  moof::0:0::/root:/bin/bash。
  这说明这台机器确实已经被黑了。
 
   在检查系统中的文件过程当中,我发现在/root目录中有一个名为“..."的子目录,在这相子目录中有三个文件:sniffer,后门程序及一个包含了所有被截获的用户名及其密码的文本文件。查看这些文件的创建时间,它们的最后一次修改时间说明这好象已经是一年前的事情了。
  黑客程序看起来更象是Linux的Rootkit IV,于是我下载了源代码,想看看它是如何工作的,改动了哪些文件。在它改动的文件当中有一个就是/bin/login。我在这台被黑的机器上编译了/bin/login的特洛伊代码,然后用一个二进制文件编辑器查看后门密码放在了哪里。找到后,我用该编辑器打开了/bin/login文件的一个副本查找这个后门密码。找到后,为了测试这个后门密码确实管用,我又登录到另外一台机器,在它上面运行telnet连接这台被黑的机器,输入root和后门口令进行登录。哇,我竟然成功了,我以root的身份登录到服务器上了。我又用rsh进行了试验,结果竟然还是成功登录!
  我将我的发现用e-mail通知了系统管理员和ISP的主管,信中附上了这个后门密码及使用的方法,并建议应该立即备份所有的数据,清除机器,安装一个最新的Red Hat版本和补丁。他们答复我说他们会去检查一下。
 
   我检查的第二台机器是一台主WEB服务器,这是一台运行Apahce的RedHat5.0。我登录上去的第一件事情就是去检查passwd文件,但这次没有发现问题。然而,当我运行last或who时,又是返回了一大堆垃圾信息。我又按照上面的方法进行了检查,但没有发现任何rootkit的文件。最后我又下载了个/bin/login,通过对比,我发现
了一个后门口令(与上一台机器不同),我又能以root身份进行登录了。
  这看起来不是同一个黑客干的。所有的操作都没有留下任何的痕迹,也找不到任何的rootkit文件,除了一个感染了特洛伊木马的login程序。凭着直觉,我又进入了/dev目录,看看有没有什么异常的文件。用ls命令列出文件列表,还没有发现任何异常,但是当我运行file *后,它显示出了几个用ls没有列出的文本文件。原来
,这些文件都是rootkit的配置文件,这些配置文件指示特洛伊木马程序应把哪些进程、IP地址和目录及文件隐藏起来。这样,我发现了rootkit及其它一些文件及黑客来自哪里。
  这些文件在机器上的时间说明它们是在几个月以前才被放到机器上来的。当然,我通知了系统管理员及ISP的主管,并附上了这个后门口令及我的建议:备份数据、重装操作系统及补丁。我得到的答复是相同的:谢谢,我们会进行检查的”。
  这真是使我感到沮丧。使我感到沮丧的原因有很多,首先,我花费了数个小时检查它们是用了什么方法和采用何种rootkit进入到主机的,然后又找出这个后门口令,最后还向他们报告了这一切,并提供了解决这个问题的方法。可他们对此却没有任何举动。
   第二,做为一个安全管理人员,他们所做的一切都是与我所学到的安全知识相悖的。只要你的机器被黑掉,你所要做的第一件事情都是备份机器中的数据,并重新安装系统的补丁。这是确保完全安全的唯一方法。
  最后一个原因是对为我提供接入服务的ISP的失望。我通过他们线上购物,通过他们在网上发电子邮件,通过他们天天上网。已经有证据表明黑客获取了密码,并可能在网络上窃取其它方面的内容,如email。他们所提供的服务受到了安全威胁但他们却什么事也没做。我已经对ISP当初所承诺的----提供可靠的服务包括保护用户的私人信息完全丧失了信心。

   附:ISP可能认为,黑客既然早已经进入了主机,但却没有对系统的运营造成破坏,可见这个黑客并不“黑”,而且知道这个后门的人又不多,所以这个安全漏洞不会对系统有多大影响。同时,网管也认为做这些事情太过烦琐,没有必要为这点小事将整个系统重新整过。
   在国外由于ISP很多,林子大了鸟就多,所以在众多的ISP中出现这样的一家也比较正常。而在我们国家由于电信垄断了因特网的接入业务,一旦ISP的服务器出现这样的问题,其产生的负面影响会大很多。其实,也许曾经有过,我们不知罢了。

怎么简单快速一个钟头入侵网站

首先,观察指定网站。 入侵指定网站是需要条件的: 要先观察这个网站是动态还是静态的。  首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站点 如果是静态的...
  • lishimin1012
  • lishimin1012
  • 2014年06月10日 20:37
  • 15996

入侵指定网站的思路~菜鸟必学

首先,观察指定网站。 入侵指定网站是需要条件的: 要先观察这个网站是动态还是静态的。 首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站 点 ...
  • u012191462
  • u012191462
  • 2015年10月20日 15:09
  • 7140

网站入侵学习入门到高手所有重点难点视频推荐

今天看到一基友 Mayter/baojin 总结了下入侵学习的视频  我顺便把视频链接也放上来省得想学习入侵的童鞋去找了 现在学入侵了好多了 学习的东西都给出来了 以前我们学习入侵的时候...
  • wljlwyq
  • wljlwyq
  • 2014年10月06日 18:38
  • 2803

如何入侵jsp网站

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我...
  • qq_20545159
  • qq_20545159
  • 2015年01月26日 16:26
  • 1591

总结揭露黑客入侵网站的手法

总结揭露黑客入侵网站的手法 现在的黑客很猖狂啊,大家都知道网站是怎么被黑客入侵的吗? 刚才简单做了个调查,大家网站被入侵的情况发生得比较多,而且也有部分站长知道黑客是怎么入侵的,现在也有不少PHP...
  • jiumingmao11982
  • jiumingmao11982
  • 2015年11月02日 17:59
  • 922

黑客是怎样入侵你的网站的

http://www.2cto.com/Article/201302/189735.html 这个问题很难回答,简单的来说,入侵一个网站可以有很多种方法。本文的目的是展示黑客们常用的扫描和入...
  • loongwong2011
  • loongwong2011
  • 2016年08月11日 18:01
  • 1475

网站入侵的攻击方法和原理

前言闲话 声明:此文不教大家怎么破解做坏银,而是攻击方法与原理,知己知彼,才能防好自己的密码; 嗨!各位小伙伴们,又到周六了。有人还在加班,有人已经带着GirlFriend逛街去了,今天我依然一个人,...
  • qq348843576
  • qq348843576
  • 2015年05月16日 09:00
  • 3544

web网络安全——网站入侵(一)

前言:哈哈哈,Mark,硕士入学以来第一个渗透成功的网站,成功脱裤。都说研究生生活苦,确实是,从接到入侵网站都入侵成功整整半个月,纯属运气,首先网站很low,其次本人运气好,废话不多说,直接上过程。 ...
  • u012902917
  • u012902917
  • 2016年12月18日 21:22
  • 474

Aspx目标网站入侵之旁注加跨站入侵

指定目标网站入侵之旁注加跨站入侵   2010-09-17 14:06:49|  分类: 默认分类 |  标签: |举报 |字号大中小 订阅 今天中午群里的幸福又发站出来了,...
  • kendyhj9999
  • kendyhj9999
  • 2014年06月14日 08:31
  • 1054

网站入侵思路(初级黑客渗透篇)

网站入侵思路(初级黑客渗透篇)           作者:80  1,〓经典注入〓      通常,判断一个网站是否存在注入点,可以用’,and 1=1 ,and 1=2,+and+1=1,+and...
  • lizhengnanhua
  • lizhengnanhua
  • 2014年09月11日 04:23
  • 31954
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:一个被入侵网站分析报告
举报原因:
原因补充:

(最多只允许输入30个字)