浅谈服务器被黑后的检查工作流程

今天给菜鸟们说说以入侵者的角度去谈谈服务器被干掉后,我们该做的哪些防护和检查工作,大牛的话都比较熟悉系统加固和安全的问题,对于我等菜鸟来说,没有做过从事过安全方面工作,所以只能从入侵者的角度去说说相对立的工作。因为菜鸟的我们也会自己弄服务器自己建站,又没有专业的知识,也不是搞什么大项目,所以都只能自己维护了,那么被干掉后,肯定也是得自己做维护和检查工作了,于是有了下文。

通常服务器被干掉,一般有以下几种情况,跟着我来看看吧

1.服务器被拿下最高权限即系统权限
一般为了拿系统权限,基本肯定不会干什么好事,服务器的数据基本都会被打包走,因为系统权限是最高权限能干的事多了,我就不说黑阔们都用着权限干嘛了,你们懂的

2.服务器被拿下webshell
通常是某个web系统有漏洞,导致黑阔黑盒检测出来并利用或0DAY什么的,直接得到一个webshell权限,这个权限可大可小,主要还是看服务器的web目录设置的权限,权限设置不好的话,系统盘目录都可以一览无余,当然要是目录设置严谨的话,基本拿到一个webshell不足以搞什么破坏,最多被脱裤和打包(关键组件禁用比如wscript,fso等),尤其在找不到提权的情况下,只有一个webshell能干的事就很少了,现在大部分服务器都挺安全,基本能拿下个webshell提权还是挺困难

3.服务器各种数据被社
比如3389终端,FTP,WEB系统管理等等账户和密码被社,或通过上面webshell拿到数据并整理分析得到一定权限的管理账户,还有现在流行的XSS用来X后台和管理账户,这些就要根据账户所对应的系统而确定权限,比如3389终端账户,社到的话那直接就是系统权限了(前提可以登陆的情况,不然神马都浮云),WEB系统管理就要看是什么系统了,ASP,ASP.NET,PHP的这些都不涉及系统权限,而JSP的系统那就要注意了,权限配置不好的话,那权限可不是一般的大。具体这一种情况被社到的话,能做的事情就依据账户对应权限了

4.服务器被C段或嗅探
这种情况和第三种情况不一样,这需要在同一段内搞下一台系统权限的服务器,然后才可以进行数据的嗅探,能嗅探的数据很多,比如3389登录账户和密码,80也就是web系统管理账户和密码等等,能做的事情也同第三一样,也是根据嗅探到的账户对应的权限而定

5.服务器被各种0DAY打了
这个一般菜鸟是做不到的,要么是新出了哪一个0DAY,然后公布于众了,菜鸟才得以过把瘾,0DAY各种各样,大概分为系统0DAY和WEB 0DAY,系统0DAY比如直接溢出获得系统权限,反弹SHELL等等,WEB 0DAY一般则是针对某一个WEB系统直接getshell,两者的权限可以参照以上的,系统0DAY一般能直接得到system权限,WEB则和第二点差不多,还要根据权限大小而确定能干的事。

简单的被黑后的工作检查处理流程:

这几种情况是我们常遇见的,菜鸟的你当服务器被黑阔撸过了,你肿么办(肯定不会凉拌,再垃圾也是服务器嘛:D,也是自己使用的)?我们可以根据以上的情况,去做相对于的对策和检测。以下是我自己总结的,若有雷同纯属意外:

1.服务器被干掉了,第一我要做的是,开发的系统都先暂时关闭,系统账户密码都修改一遍,请改之前还要检查服务器是否存在木马等。以免被黑阔给你Get Hash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文(那你白干了,黑阔笑嘻嘻,心想你个傻鸟我再监听你呢)

2.检查系统是否有多余的账户,一般有手工和工具检查,我这里指谈思路,具体要做你自己去实现,比如可以查C:\Documents and Settings\这里,要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹,哪怕是神马带$的隐藏账户,还有注册表里也要好好检查,不懂就工具吧,百度那么好

3.检查系统开放的端口,自己熟悉的端口就先不管,有陌生的就要查一下,到底是什么程序再使用,有时候可以检查出木马或者后门使用的端口,把没必要的端口都关闭了,避免意外事故

4.检查日志,菜鸟级别的一般没办法清理掉一些日志,可以好好看看,比如IIS,WEB系统自带的日志功能,系统日志等,这能分析出黑阔都干了神马坏事,以及你的服务器是怎么被干掉

5.检查系统各个盘符的以及关键目录的操作权限,比如某2B管理给我搞了服务器,E盘原本没权限,后来我改为everyone,而恰好他又不去检查,那只要我WEBSHELL在的话,权限就很大,尤其配合一些提权工具,那是爽歪歪了

6.使用杀毒安全软件,这个是为了全盘扫描木马(EXE和脚本以及其他),查杀木马和修复系统漏洞,至于选择神马杀毒软件,大家自己找,我也不推荐免得被说是枪手,这年头当好人很难的

7.web系统的脚本后门要好好检查,一般看看文件操作时间(不过文件时间是可以改滴),用工具审核,还有人工审核,没能力的找基友,找熟人,还有一种是提前备份好各个系统,出了问题后,把两个文件打包到本地用Beyond Compare对比分析,当然其他对比分析工具也可以,确保剔除掉黑阔的脚本,另外能找到自己web系统的漏洞最好了,如果你知道黑阔怎么搞你的web系统那你就对应修复吧,记得还有那些变异扩展的脚本也要留意下。

8.安装安全狗之类的waf软件,我不是打广告,反正不少菜鸟遇上狗的服务器,基本都是绕道而行,不然就要被咬了,大牛有办法绕过,但是不一定会给我等这些菜鸟分享的,所以安装类似的软件,虽然不能保证100%防护,但至少给黑阔搞你服务器增加不少困难,也可以阻挡一批所谓的脚本小子(有木有?反正我遇到狗就跑啦)

做好这些之后,剩下的还要自己给服务器加固,哪里被搞了,哪里就应该多留意下,具体的加固,大家自己找资料参考吧,这个是题外话,何况我这菜逼的菜鸟也不是专搞这个的,所以基友就别为难我,我只能略懂一些,各种账户密码设置复杂一些,而且不同的账户使用不同的密码,必备被社工了,社工太强大了,不是你所想象得到的,服务器各目录严格分配,可以参照下星外,还有其他的参考文献,没事看看日志,监听下流量,监听下端口,黑阔要在你服务器干坏事,肯定会有不少动静,只要稍微留意一下细节的东西。

91ri.org:本文属于较简单的服务器被黑后的问题排查流程,适合刚刚做网管或者是技术不是很好的朋友阅读。其实安全这种东西无绝对,不是说安装个防火墙或者多打些补丁就能防住那些不法分子,要有颗常记安全的心。

建议:在工作检查处理流程的一条中所提到的检查服务器是否存在木马等,我们建议使用专业的杀毒软件及webshell扫描工具。(杀毒软件推荐国外的mcafee企业版,诺顿企业版或相关的服务器版,webshell扫描工具推荐啊D,暗组等常更新的webshell扫描工具。毕竟shell一直在变形,若只单纯使用旧的扫描工具根本扫描不出什么。同时建议服务器端不使用XX卫士,XX管家等。)

link:https://forum.90sec.org/thread-5996-1-1.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。