操作系统被入侵后的修复过程

    前言：由于工作的特殊性，接触到这些东西。这篇文章仅仅对一简单入侵作分析，不具有rootki之类内核级木马！高手见笑，仅供参考

　　正文：刚刚当上学校某站的系统管理员，负责3台主机，先检查一下，发现一台主机skin目录下有可疑文件存在。呵呵，刚上岗就发现问题，嘻嘻，好好表现。

　　可以肯定，此主机被入侵。

　　操作：

　　1 系统采用2003+iis6.0 ，NTFS分区格式，权限设置正常。Pcanywhere10.0远程管理。页面采用动力文章系统，版本3.51修改。 挂接另一网站，采用动网修改版。

　　2 测试发现，前管理员未注意web安全。动力文章有严重上传漏洞，而未修补。动网版本7.00sp2 ，但不排除已被入侵。随即，彻底检查系统，未发现木马。确定主机系统安全。但在web里发现大量webshell，待清除。Iis6.0 无日志记录!

　　3 检查修复 （ 备份当前web系统。）

　　A 时间查找法：根据上述文件的最早创建时间，搜索此时间以后创建和修改的所有文件。又发现许多未知gif，jpg，asp，cer等格式文件。用记事本打开发现，俱为asp木马。备份，删除。

　　B 工具查找法：在手动查找之后，安装杀毒软件，全面杀毒，除杀出少部分asp木马，未有其他发现。检查用户，无异常。检查C盘，无不明文件。说明，入侵者在获得web权限后未进一步提升权限，但不排除安装更隐蔽的木马。待查。

　　C 根据时间查找法，发现正常asp文件有些已被修改。其中，动力文章系统管理页面被插入代码，将管理员密码明文保存。代码与动网论坛明文获取密码代码类似。

　　在其他被修改的asp文件中，发现有动鲨网页木马，icefox的一句话木马，海洋木马等，均加密处理。

　　D 修复；备份此web系统，提取数据库。删除！还原数月前备份之系统，检查，无木马！导入现在的数据库。删除动力文章上传软件的asp文件，加入防注入代码。修改所有web管理员密码，修改所有系统管理员密码. 升级pcanywhere 到11.0 修改pcanywhere 的密码并限制ip。打开iis6.0日志记录。由于挂接的网站，长期未更新，web管理员无法联络，更改路径，去除连接，备用！

　　分析： 由于主机权限设置问题，入侵者可能无法提升权限。（可能已经获得pcanywhere 密码，但主机长期保持锁定状态。据估计是入侵者技术尚浅。）由他所留文件分析。在获得webshell的情况下，他上传cmd文件，但权限设置较好，估计为能获取的太多信息。上传2003.bat xp3389.exe 等文件，想开服务器3389端口。但还是由于权限问题，无法提升。Ps：一台主机如果安装pcanywhere ,将无法开启3389服务，其主要文件被pcanywhere替换。开启不了。其他文件为察看进程，安装服务等工具，估计在未获得更高权限的情况下，得到的信息不足以获取管理员权限。唯一注意的是，pcanywhere的密码文件，是everyone可以察看的，在*:Documents and SettingsAll UsersApplication DataSymantec ,此目录为everyone可见，其中有pcanywhere的密码文件*.cif ，网上有密码察看器，但11.0版本无法察看。呵呵，升级一下吧。