今天將與大家分享的是操作系統被入侵后的修復過程,本教程只對入侵后的修復做一簡單的介紹,希望對使用該系統的朋友們有點借鑒與參考.

　　正文:

　　剛剛當上學校某站的系統管理員，負責3臺主機，先檢查一下，發現一臺主機skin目錄下有可疑文件存在。呵呵，剛上崗就發現問題，嘻嘻，好好表現。可以肯定，此主機被入侵。

　　操作：

　　1 系統采用2003+iis6.0 ，NTFS分區格式，權限設置正常。Pcanywhere10.0遠程管理。頁面采用動力文章系統，版本3.51修改。 掛接另一網站，采用動網修改版。

　　2 測試發現，前管理員未注意web安全。動力文章有嚴重上傳漏洞，而未修補。動網版本7.00sp2 ，但不排除已被入侵。隨即，徹底檢查系統，未發現木馬。確定主機系統安全。但在web里發現大量webshell，待清除。Iis6.0 無日志記錄!

　　3 檢查修復 ( 備份當前web系統。)

　　A 時間查找法：根據上述文件的最早創建時間，搜索此時間以后創建和修改的所有文件。又發現許多未知gif，jpg，asp，cer等格式文件。用記事本打開發現，俱為asp木馬。備份，刪除。

　　B 工具查找法：在手動查找之后，安裝殺毒軟件，全面殺毒，除殺出少部分asp木馬，未有其他發現。檢查用戶，無異常。檢查C盤，無不明文件。說明，入侵者在獲得web權限后未進一步提升權限，但不排除安裝更隱蔽的木馬。待查。

　　C 根據時間查找法，發現正常asp文件有些已被修改。其中，動力文章系統管理頁面被插入代碼，將管理員密碼明文保存。代碼與動網論壇明文獲取密碼代碼類似。

　　在其他被修改的asp文件中，發現有動鯊網頁木馬，icefox的一句話木馬，海洋木馬等，均加密處理。

　　D 修復;備份此web系統，提取數據庫。刪除!還原數月前備份之系統，檢查，無木馬!導入現在的數據庫。刪除動力文章上傳軟件的asp文件，加入防注入代碼。修改所有web管理員密碼，修改所有系統管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼并限制ip。打開iis6.0日志記錄。由于掛接的網站，長期未更新，web管理員無法聯絡，更改路徑，去除連接，備用!

　　分析： 由于主機權限設置問題，入侵者可能無法提升權限。(可能已經獲得pcanywhere 密碼，但主機長期保持鎖定狀態。據估計是入侵者技術尚淺。)由他所留文件分析。在獲得webshell的情況下，他上傳cmd文件，但權限設置較好，估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件，想開服務器3389端口。但還是由于權限問題，無法提升。Ps：一臺主機如果安裝pcanywhere ,將無法開啟3389服務，其主要文件被pcanywhere替換。開啟不了。其他文件為察看進程，安裝服務等工具，估計在未獲得更高權限的情況下，得到的信息不足以獲取管理員權限。唯一注意的是，pcanywhere的密碼文件，是everyone可以察看的，在*:Documents and SettingsAll UsersApplication DataSymantec ,此目錄為everyone可見，其中有pcanywhere的密碼文件*.cif ，網上有密碼察看器，但11.0版本無法察看。呵呵，升級一下吧。