防御的艺术（三）.docVIP

防御的艺术（三） 　　地点：傲盾信息安全中心 　　情报：微创集团受到黑客攻击，WEB服务器部分重要文件丢失。攻击时间预计为凌晨，服务器log文件被删除(log为日志文档保存格式)但有信息备案。 　　时间：2007年?月11月1日 　　负责工程师：马青、孙佳兴 　　 　　9月、2日下午3点，信息安全中心接到微创集团的电话，公司受到来自互联网的入侵攻击，希望能得到信息安全中心的技术支持。信息安全中心紧急派遣工程师赶往集团和相关工作人员了解情况。 　　“哎，现在的黑客攻击是越来越频繁，以后的夜晚注定成了咱们生命的主旋律了。”工程师马青感叹到。“好啦!别发牢骚了，你去检查WEB服务器是否残存攻击痕迹，我去向他们的网络负责人了解下情况。”另一位老工程师老孙走向网络部。 　　“这次发现服务器被攻击是在今天早上8点上班后，由于公司出现大规模的掉线现象，我去机房时发现WEB服务器的日值出现了从凌晨1点到4点近2个小时的缺差。公司的技术人员经过分析，确定服务器上OA系统?燃?团管理人员存放的多个客户信息文件被删除并有可能被攻击者拷贝。竞争对手入侵的可能性非常高，希望你们能尽快帮我们找到公司网络安全系统的漏洞。”负责人很无奈地向工程师老孙阐述着这次攻击事件。 　　时间很快走到了下午5点半，忙碌的2个小时过去了，“服务器的报告整理出来了，看来今天晚上咱俩要在这里度过了!通过残留的数据库日志显示，这次的黑客连续3天晚上1点都会来服务器上检查是否有新的客户资料上传，而且还是利用的跳板服务器攻击，攻击者可不简单。”马青兴奋地报告。“分析报告给我一份，我看一下具体情况。我刚刚和他们的负责人谈妥，内网所有计算机与服务器断开，这次的工作主要是帮微创集团制订安全方案并确定入侵者身份。” 　　 　　服务器分析报告： 　　 　　集团服务器操作系统： 　　WIN2003 server末升级SP1补丁 　　IIS6.0+MS SQL数据库+serv6.0(FTP管理工具) 　　集团网站+内网OA办公系统 　　残留攻击程序：ftp.exe、adsiniff.execmd.sys clearlogs.exe 　　系统后门：IIS下的隐藏单独目录设定ASP网页木马 　　攻击分析：攻击者通过网站SQL注入获得WEBSHELL并利用serv-u溢出攻击，得到system管理权限，从而获取OA办公系统的管理权限并读取相关文件阅读权限。在服务器中发现有隐藏的系统级后门和ASP网页木马后门程序的存在。由于微创集团的OA办公系统整合了Word功能对文档可以进行密码加密，导致黑客未完全得到机密信息，预计黑客将继续对服务器进行攻击。 　　“恩。看来今天晚上这名黑客的很可能会继续道入眼务器窃取文件，我去把服务器的漏洞修补方案整理一份给他们负责人，晚上加个班分析一下黑客是来自哪里。”工程师老孙安排了一下工作计划。 　　 　　服务器亡羊补牢 　　 　　关闭被攻击端口 　　1、关闭135端口 　　Windows 2003服务器的135端口都是默认开启的，利用防火墙阻断外网连接服务器端口已经被黑客的反向连接技术破解，真正斩草除根的办法是用利用16位编辑软件(譬如UItraEdit)打开系统的C:\Winnt\system32或者C:\Windows\system32下的rpcss.dll文件。查找3100330035，替换为3000300030，然后保存，要另存为，文件是受到Windows保护的，不能直接保存。重启计算机后，用启动盘启动到DOS状态下，进入C盘后运行：copyrpcss.dll C:\Windows\system32\rpcssdll，然后重新启动机器，就会发现135端口已经没有了，这样修改其实就是把监听的端口从135改到0。 　　2、关闭139端口 　　开始→设置→网络连接→本地连接→属性→internet协议(tcp/ip)→属性→高级→Wins→禁用tcp/ip上的netbios→确定→确定→关闭，重新启动电脑后就会发现139已经不再Listening了。关了这个之后就不能用文件和打印共享了。 　　 　　关闭危险的COM组件 　　1、卸载wscript.shell对象 　　在cmd下运行：regsvr32 WSHom.Ocx/u 　　2、卸载FSO对象 　　在cmd下运行：regsvr32.exe.scrrun.dll/u’ 　　 　　反劫持启动项 　　1、在运行中输入：MSCONFIG清理所有与服务不相关的启动项。 　　2、利用hijackthis扫描系统启动程序(由于黑客可以通过修改策略组启动能瞒过msconfig的检测)，关闭后门启动项。 　　 　　构件备用日志纪录 　　由于大多黑客在入侵结束