我爱电脑技术论坛 » 原创作品专区 » 一检测攻击真实的案例[原创]

cince 发表于 2008-5-7 15:54

一检测攻击真实的案例[原创]

-----------------------------------}*Y;D9} L0E/L
看着大家都发原创的作品.;_ ? m*M\
我也手痒了.也来一个.
R2P-NV|u2W 文章中提到的技术都是很平常.v;g Z%V2`
在网络上也可以找到这些方法.
$Pwh2l2zCV 大家不妨试试.
X&U-Xumf 也因此此文章只适合于菜鸟级的.
$V@ Uh*e 高手飘过~
$? qG j!NHO -----------------------------------
0B8R
A soB)N*vKEt[
aV
awSQa\                                一检测攻击真实的案例
a;_U3M_D.N0OB?&D
*K#I uI0F5~1\ 在四月份的时候我曾接到一位朋友来电话说他的服务器有人攻击的迹象.我将当时的操作方法写下来给大家看看.本人是菜鸟级的.有些难免会出现错误.望知者指正.n%h ~%f'jHu
r;N`KLv
检测流程:
B|D/x)M 1.        端口查看.7Z*Y]D4o
2.        进程分析
2q4AkoN1F 3.        用户分析t }G!k3M jqI2k
4.        文件列表
K#J_:a9m&W
5.        日志分析 Ct!E/}W{
6.        攻击查找 {{y;B|0^g\`(O.l
q9O9| j4Jk)?w
----START----8c/P6Pw G)T4Hd
}Zi&w I? \1g?"G
----端口查看----^&gTk_)d r
为什么要进行端口分析.主要是因为端口是计算机与计算机之间通信的根本的渠道.所有连入该计算机的远程主机都要通过端口才能进行访问.因此我们可以利用这个原理来查看是否是中毒还是有人攻击.
C&dam(u g5|4`-X#}*F[
键入命令:netstat –p tcp -n
[i:p6Y'wSF 得到以下的结果: ]4yEW;bQ4K$^
------------------------------------------------------------------------------!LQo:|,y(z a
Active Connections
;y^,N3b,T)|HudN@#U Proto  Local Address  Foreign Address   State
%jU`$|*S3xI)s TCP    *.*.*.*:2572     *.*.*.*:135         TIME_WAITK.xy6H{ZM:Y'W5O
TCP    *.*.*.*:2984     *.*.*.*:1027        TIME_WAIT
)q#So6Wp~@?'_ TCP    *.*.*.*:3106     *.*.*.*:1444        SYN_SENT]KYu {*t`
TCP    *.*.*.*:3107     *.*.*.*:1445        SYN_SENT
"k'\Bs$c+`:f TCP    *.*.*.*:3108     *.*.*.*:1446        SYN_SENT!n(ju*kf;pE
TCP    *.*.*.*:3109     *.*.*.*:1447        SYN_SENTqKh7|#cQi+~s4L
TCP    *.*.*.*:3110     *.*.*.*:1448        SYN_SENT
D$Q*gvCMX9E TCP    *.*.*.*:3111     *.*.*.*:1449        SYN_SENTe3A8SM&b-S:u$l3C:@
TCP    *.*.*.*3112      *.*.*.*:1450        SYN_SENTV,XD)O$xa_
TCP    *.*.*.*:3113     *.*.*.*:1451        SYN_SENT
*c.M*u^Lr`n+i%_%^$D$o TCP    *.*.*.*:3114     *.*.*.*:1452        SYN_SENT
+` R's-~Ml,|`|!Sx ------------------------------------------------------------------------------
l^\!Q.|` 从这个信息中，我们可以了解到本地和外部地址上有大量的SYN_SENT信息.同时还有一些TIME_WAIT或者是TABLISHED的信息.由此可以断定.攻击信息的关键在于连续的端口和来自一个远程主机的大量连接.
L5H(k'|@q
b
si x'pl7w ----进程分析----
k
_B9gBH
H+d$iE <采用任务管理器.优点:大家的电脑上都有> I[$~hHI{C
使用命令:tasklist查看进程a5|.~1I.KGyW2O
B@e
(图略);b["wM)P;Z$}$u#K1a%iP!M9o6v
从进程中看并没有木马之类的程序.用此方法时你必须会知道哪些是系统进程.哪些不是.如果你不会记得这些.那么你在电脑安全的情况时保存一个进程.发现不明的现象的时候可以拿出来进行比对比对
Dr/s\2GKTw 但不能排除以下几点:umfEO/t3S-?
1.假装系统进程.比如:iexplore--iexp1ore.他们采用的方法是使用了加密.比如:我的网名cince.经过加密处理后就可以变成这样子:  (1|\|(3   试问如果我不说你会知道这是指什么吗?而上面的iexp1ore只是进行了一层的加密处理.这就是为什么他们能够假装的那么像的原因.
/`M9gs zJyE3y 2.隐藏程序进程.此时就要借用第三方工具了.比如:360安全助手.冰刃等v
J
S$k{K
如果连这些很常用的工具都办法找出来.可以有两点.要么没有中毒或中木马.要么就是木马或病毒太强了.若是第二种可以很明白的告诉你.重装系统吧哥们~
t'`\9ykbm
:n|%FcbgHE$k 对于我朋友这位的服务器的进程我在这里就不给出了.因为我查看了.也是没有木马和病毒之类的进程.而且可能会涉及到他的相关的电脑隐私.安全起见.所以不给出.我怕死~"C e*nn3?)e qa
|`+ttQ!B(w#s3Uy
----用户分析----
!Y.r2P%j Uh6| 我想攻击不会说攻击完一次就不攻击了吧?大多数的攻击者会进行创建管理级的用户.隐藏用户.以便以后可以再一次就入该系统.当然.就目前的.许多的攻击都会进行这样子做.因为这些被成功攻击过的计算机可以卖给高手们.你就有钱了.至于高手们为什么要购买这些”计算机(肉鸡)”.我想九成以上是用来组件一个僵尸网络.以便向某个服务器发起D.O.S攻击.怎么攻击法就不是本文所讨论的了.那怎么查看用户呢?svz8k3Q.f.T
在”计算机的管理”中有用户组.我们必须查看每一个用户组的.尤其是administrators的管理组的.按黑客的教程中.他们通常会把Guest .TsInternetUser这样的系统提供的账户加入管理组.as#P&t5EF8tl
为了确定攻击者是否已成功的进入系统.我们可以对其进行检测.
"QM R+Q)Ma8L 首先.先要找到网络中的弱点.Windows网络口令用于使用WEB服务器上的WEB服务.这些网络登陆信息对我们是最有用的.:qP8u(Q"Oatn7J
其次.从一个机器上下载账号名列表.从中选出一些很少使用.例如guest账号.我们就可以使用这个账号来进行多次的登陆.直到它被锁住这样子.我们就可以推测设置了哪些策略了.
PD}7W#@a{ 再次.打开脚本.运行whisker(此程序可以在网络上找到以及使用方法)程序.这个程序能够扫描IIS服务器中的公共代理服务器信息.呵呵~抽根烟等待着结果.*Du.O1Iq1Q*i
.Q"]?!Fg(x
此外我们还要进行一些设置.
Ivg&ntz.` [~"j 在计算机中的性能设置:
h].^XT 1.        Web Service-Connection Attempts/sec--Total
KpazD t 2.        Web Service-NotFound Errors/sec--Total^1ah'U5u1S
为什么要进行设置这些计数器呢?这两个所设置只是查看发送的信息量.而且whisker要设定为平常的发送量.我们就可以根据它们的计数量和警报来推断了.|V6z
lcZ0x\ e

z Oj*H'} 扫描的结果和这些计数器不断的报警.嘿~看来这位攻击者还在不断的发信息.牛人呀~,^:SAJ_fq
,w'_tL/o
----文件列表----&_@r\.w(OoH"~
攻击者们都喜欢把后门文件放在系统的目录下.因为这个文件夹的位置.很少人会去检查.正因为这样子.所以很多的攻击都对该目录感兴趣.也因为这个目录是系统关键目录.比如CMD先加载的都是先扫描该目录.其实这个对于入侵者来说更为经常.为了以防万一.我顺便做一次检查.Hy?2Q.` f qV'x'M
防止这个.我们可以对其进行设置一下.使之不让CMD先扫描该目录.说了这么多.也许你会问.到底是哪个目录.其实就是:o T"@Vq^6D7Y
aR
C:\windows\system32\S;yaJ:}h Q#Nf
呵呵~怎么样?感觉是大悟了一番不?#V'q_2L#wAg
下面说说怎么对其进行设置呢?6a+s6kGYt {
1.电脑属性--环境变量--在C:\windows前面加入:C:\cince I*D0a#xs)[
这样子设置后.CMD就先执行C:\cince下的目录了.h0]4pdt(}T
不过这个方法目并没什么用.只是为了自己的方便罢了.呵呵~有点扯题啦~攻击者应该都不是傻子吧?
.\B9w W?&}DY
bWhF ,~nx1\&i_+Y tA9`
----日志分析-----
Yb+H_z4XH4zz%R 由于日志的工作量太大.因此我们可以采用一些小技巧来完成.说是小技巧.其实也不是.只不过是检查了攻击者攻击后清理的事罢了.
,j+}[3c+B9^4u 1.        检查日志是否有断痕(比如说:2008/5/3 1:00-----2008/5/2 0:00.这可以很肯定的说明有人动了你的日志了.当然了.有一些攻击者的行为是更为恐怖.他们采用的是直接删除了你的所有的日志))_p"np'aK-q\Q
2.        有可疑的账号登陆(采用账号登陆这可是最直接的一种攻击手段);UZ+DF?H6t
3.        是否在不该出现时间段内出现访问.(例如:工作人员吃饭.睡觉.在这段时间内出现的日志估计都不是什么好事.因为工作人员的工作时间很多都是定下来的.有一定的规律性.而攻击者们则常常在于晚上进行)*Ik4W@DT6@.NkF
/WA|_*^J
而后.我查看到了IIS日志中有一个不断扫描80端口的全过程.以及一些他能够得到的一些信息.对于开启WEB服务的服务器来说.大多数的攻击者都是通过这进入的.!`.nwt%^/t
审查日志.还有一个关键的作用就是起到了一定的跟踪.
1QHJ3k _I&S 全面检查.必须查看以下的日志文件:

U'T9^+C|;} z C:\winnt\system32\logfiles\*.*Q,JPKB0p/d P,Rc
C:\winnt\system32\config\*.evt
v-ST#}0~.] C:\winnt\system32\dtclog\*.*
N+jl2^)j.^{ C:\winnt\system32\*.loget Y(r'u;B9eOf
C:\winnt\system32\*.txtq+zKmL6U_
C:\winnt\*.txt-]y\0Ut,C
C:\winnt\*.log
\m2a$I_4r}*h
)[SS4O"Gf z!V 此后.打开”TCP/IP协议”将NetBIOS启动或禁用.执行命令:nbstat –a *.*.*.*OHj]S!Bby(o
呵~这时出现了”Host Not Found”的错误信息.总算是没有出现共享了.
Um Ng-Q^AS
!^9Q
i8F5LF(MS ----攻击查找----2b S-K:U3k0{v&h+d
这个是比较难的.因为这个很多都是涉及到了网络的专业知识.就像这个大家都会知道的:IP:192.*.*.*这类的.
%Rw)zA+u8z{1D2\ eK 我们可以根据其IP地址的分配来查找该电脑所在的位置.只要我们找到了所在单位就可以找到所分配的线路.但由于现在仍有很多的用户使用ISP拨号进行上网的.ISP提供商为了增加用户的使用.采用了不记名.自动分配临时IP .不记时.这样就给我们增加了找查的难度了.我们不仅还不能排除攻击者的IP是否是虚假的.而且也不能排除攻击的IP是否进行跳板的处理.还有一个需要值得注意.有一些杀毒软件故意报有攻击的行为.我在我的电脑曾安装有瑞星防火墙.但是曾有一段时间经常接收到阻止攻击的信息.我查了源地址.是来自全世界.也因此我并没有给予很重视.(这里这样子说并不是说瑞星杀毒软件不好.其它的杀毒软件也会出现这样子)这些无疑是给我们的查找增加很多的难度.
.l\ `"AL'Ghc 对于攻击源查找.我也是没办法进行查找. Z,n w)y ~#QG#T
不过是有解决的方案:OR"`d#z
1.        报警
O _9L\ n\"p
2.        砸了电脑.(开个玩笑啦)/Q(K5y&w y/A3}n
G#[1Y;c2[$h7c
----事后感悟-----
J8m#R6K4tb 在这次的攻击检测中我们可以看出来.要对于系统的比较的熟悉.而且还可以找出来对方可能会熟悉我们的服务器.因此可能是熟人作案.我们可以采用第三方的工具来实行.当然了采用第三方的估计是高手们都用的招数.所以说在网络曾有传着说”只有菜鸟级的朋友们才用”呵呵~想必大家都知道这句话是明摆着是错的吧~
m.XtW$rk)AU;@~x    _;T1J7SDH Y6BO
但在这次的攻击检测中得到最重要的经验就是如何使用电脑中自带的一些检测程序.以及对于服务器应该有较高的警惕性.而且要定期的对于日志进行保存.以及上面所提到的方法.在这里再说说了:+Gu9|)\4rn1x*YL
1.        在系统安全的情况下枚举出系统的进程.
pls`4{!X~%`,Oo 2.        对日志的敏感信息进行保存(有点废话)
/N8H.lV,?T 3.        安装一些第三方的小工具.比如:冰刃.超级巡警等.1f2o"`DOG0J
4.        安装杀毒软件和防火墙.7`-IN5Y2RW,T9u7c
5.        定期备份.并把备份文件保存在安全的位置.L`6J^:g+SC @
i
6.        升级系统…..这个不用说啦…..v&@ Cd6MW(SM

4_T1ULxf$hw ----END----

LOK 发表于 2008-5-7 15:58

呵呵，支持原创，支持我爱电脑技术论坛。.D@9U3o*pm
楼主辛苦了，学习一下也。

shancundeai 发表于 2008-5-7 17:22

加油`论坛有你而精彩。

降落的天使 发表于 2008-5-7 18:00

楼主netstat –p tcp -n是什么命令？

天使乖乖 发表于 2008-5-7 22:53

[:16;] 哇出原创啦，偶随然看不懂哈哈，也要支持一下呵呵，永远支持原创作品 GO！！！[;q21]

kaysnoopy 发表于 2008-5-9 07:31

呵呵。。高手越来越多了。。

缘恒 发表于 2008-5-10 11:40

支持啊，原创的，精彩，还好:)18)

meishishen 发表于 2008-5-10 17:37

支持支持！期待楼主更多的作品。

春天 发表于 2008-5-11 23:25

呵呵，多谢你的原创作品能够共享，学习了，呵呵，期待你的更多作口！

木脑壳 发表于 2008-5-13 20:50

ARP今天我也中了，晕死:)104:)

erika 发表于 2008-5-16 13:02

楼主真是厉害啊 学习中

查看完整版本: 一检测攻击真实的案例[原创]