一检测攻击真实的案例[原创]
-----------------------------------我爱电脑技术论坛6 A) e" W6 P! h
看着大家都发原创的作品.我爱电脑技术论坛$ a5 Z2 x: |/ n$ J: ^4 v
我也手痒了.也来一个.我爱电脑技术社区--打造最好的电脑技术自学交流平台7 w3 {$ ]- R" y, n5 {
文章中提到的技术都是很平常.我爱电脑技术社区--打造最好的电脑技术自学交流平台/ G3 S" C! v6 m- }( x
在网络上也可以找到这些方法.我爱电脑技术论坛' ^8 p: _ o; U; q* ~, n4 P$ b
大家不妨试试.9 I6 z' l- g( m- m
也因此此文章只适合于菜鸟级的.我爱电脑技术论坛7 A# ~2 ~1 x5 { s! }
高手飘过~
0 A- x4 h( Z2 Z- q. T5 n( a-----------------------------------
% o) J% Y; e! U" R打造最好的电脑自学交流论坛
6 U. e3 D( n$ \1 i' j打造最好的电脑自学交流论坛 一检测攻击真实的案例打造最好的电脑自学交流论坛8 d* W/ _2 N$ r0 P1 [
, x7 C6 N2 B4 z' ]3 `我爱电脑技术社区--打造最好的电脑技术自学交流平台在四月份的时候我曾接到一位朋友来电话说他的服务器有人攻击的迹象.我将当时的操作方法写下来给大家看看.本人是菜鸟级的.有些难免会出现错误.望知者指正.
) C8 P. K- W5 n# p( O0 y3 i+ w我爱电脑技术论坛
5 A8 N" Z2 Y* Q. v0 a" Swww.520diannao.com检测流程:我爱电脑技术社区--打造最好的电脑技术自学交流平台+ R% h" k5 G+ k/ `1 }( Z
1. 端口查看.www.520diannao.com/ g+ I3 F8 p0 n1 j
2. 进程分析
& ]! O9 v8 X+ ]/ c3 r+ b电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站3. 用户分析
; n& I7 N5 k7 C. A# a j# E, h$ r我爱电脑技术论坛4. 文件列表
$ T: W9 M% k- g/ ?5. 日志分析打造最好的电脑自学交流论坛" g0 ^2 I5 q p) F
6. 攻击查找打造最好的电脑自学交流论坛# a1 w, r" ^& e; a* N0 T. ]# F
我爱电脑技术论坛+ ^; y! J$ w, G" N0 \9 I
----START----
# d1 s" `% V: y我爱电脑技术论坛
( }6 t# _0 X9 k9 c我爱电脑技术社区--打造最好的电脑技术自学交流平台----端口查看----
) U- }0 M; ]( A4 @" c: I* |为什么要进行端口分析.主要是因为端口是计算机与计算机之间通信的根本的渠道.所有连入该计算机的远程主机都要通过端口才能进行访问.因此我们可以利用这个原理来查看是否是中毒还是有人攻击.
+ w# U+ p3 K3 e我爱电脑技术论坛
* t7 u: e4 ?3 ~5 @" C0 W, C# l我爱电脑技术论坛键入命令:netstat –p tcp -n
# O9 }: g3 X M电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站得到以下的结果:
3 }3 i i. ]& z4 @# Y% I$ ]" U我爱电脑技术论坛------------------------------------------------------------------------------
7 k" |: W! O6 I$ T: i打造最好的电脑自学交流论坛Active Connections我爱电脑技术论坛9 y. D/ H6 o4 R2 ?6 q
Proto Local Address Foreign Address State电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站1 |2 S4 ^. N* u$ ~4 C3 ?
TCP *.*.*.*:2572 *.*.*.*:135 TIME_WAIT我爱电脑技术社区--打造最好的电脑技术自学交流平台! h) Q3 t8 l4 l* I% @
TCP *.*.*.*:2984 *.*.*.*:1027 TIME_WAIT
. B1 t+ g, ]% W$ |打造最好的电脑自学交流论坛TCP *.*.*.*:3106 *.*.*.*:1444 SYN_SENT打造最好的电脑自学交流论坛. R2 L- g- @% |) Q/ {' @9 M
TCP *.*.*.*:3107 *.*.*.*:1445 SYN_SENT
+ N; K9 ?9 F/ b# R$ `4 Qwww.520diannao.comTCP *.*.*.*:3108 *.*.*.*:1446 SYN_SENT
0 U- q4 h. q: z j1 w我爱电脑技术社区--打造最好的电脑技术自学交流平台TCP *.*.*.*:3109 *.*.*.*:1447 SYN_SENT电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站! ~+ Q8 p: y% ]2 Q
TCP *.*.*.*:3110 *.*.*.*:1448 SYN_SENT + E7 j4 ~3 B& x% W( O5 {& \: Q
TCP *.*.*.*:3111 *.*.*.*:1449 SYN_SENT我爱电脑技术社区--打造最好的电脑技术自学交流平台! I8 _* p5 l. v. S7 S
TCP *.*.*.*3112 *.*.*.*:1450 SYN_SENT
$ ?! V: G: L5 A2 Z! q我爱电脑技术论坛TCP *.*.*.*:3113 *.*.*.*:1451 SYN_SENT( i" \: x2 \7 }* J" w
TCP *.*.*.*:3114 *.*.*.*:1452 SYN_SENT
# |9 P5 V* s) w4 C4 \" K------------------------------------------------------------------------------www.520diannao.com# k( o( c* s/ F) t
从这个信息中,我们可以了解到本地和外部地址上有大量的SYN_SENT信息.同时还有一些TIME_WAIT或者是TABLISHED的信息.由此可以断定.攻击信息的关键在于连续的端口和来自一个远程主机的大量连接.
5 c& w2 [, [! j+ S5 Z打造最好的电脑自学交流论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台+ N, y4 _4 p& E g. ~
----进程分析----
9 H. V; K% c4 O9 G( V N<采用任务管理器.优点:大家的电脑上都有>打造最好的电脑自学交流论坛5 _9 ~9 j4 r$ p
使用命令:tasklist查看进程! K4 x$ k8 B; y( J' c" _( _" c
(图略)打造最好的电脑自学交流论坛* ?: w5 O7 k+ `1 a/ R: Y& P, ]
从进程中看并没有木马之类的程序.用此方法时你必须会知道哪些是系统进程.哪些不是.如果你不会记得这些.那么你在电脑安全的情况时保存一个进程.发现不明的现象的时候可以拿出来进行比对比对打造最好的电脑自学交流论坛$ ]7 Y- }) O! U/ Z1 g
但不能排除以下几点:
$ ^3 O' \' k' {我爱电脑技术论坛1.假装系统进程.比如:iexplore--iexp1ore.他们采用的方法是使用了加密.比如:我的网名cince.经过加密处理后就可以变成这样子: (1|\|(3 试问如果我不说你会知道这是指什么吗?而上面的iexp1ore只是进行了一层的加密处理.这就是为什么他们能够假装的那么像的原因.
- b# v4 p6 h( W+ x$ {4 B2.隐藏程序进程.此时就要借用第三方工具了.比如:360安全助手.冰刃等
- E7 K; F/ y$ K/ W. @1 k如果连这些很常用的工具都办法找出来.可以有两点.要么没有中毒或中木马.要么就是木马或病毒太强了.若是第二种可以很明白的告诉你.重装系统吧哥们~
: y' q" B8 `$ ^& q( E4 P- o: xwww.520diannao.com我爱电脑技术社区--打造最好的电脑技术自学交流平台4 t* y6 U X( o; D9 Z! _% p
对于我朋友这位的服务器的进程我在这里就不给出了.因为我查看了.也是没有木马和病毒之类的进程.而且可能会涉及到他的相关的电脑隐私.安全起见.所以不给出.我怕死~
, u+ z# }9 @0 D电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
@. ?1 `+ u! V, U4 M) [' ]. J我爱电脑技术论坛----用户分析----电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站/ |* p7 D; f7 S* V( Z5 R& K% f
我想攻击不会说攻击完一次就不攻击了吧?大多数的攻击者会进行创建管理级的用户.隐藏用户.以便以后可以再一次就入该系统.当然.就目前的.许多的攻击都会进行这样子做.因为这些被成功攻击过的计算机可以卖给高手们.你就有钱了.至于高手们为什么要购买这些”计算机(肉鸡)”.我想九成以上是用来组件一个僵尸网络.以便向某个服务器发起D.O.S攻击.怎么攻击法就不是本文所讨论的了.那怎么查看用户呢?
4 Q. }9 C: y" U2 Ywww.520diannao.com在”计算机的管理”中有用户组.我们必须查看每一个用户组的.尤其是administrators的管理组的.按黑客的教程中.他们通常会把Guest .TsInternetUser这样的系统提供的账户加入管理组.我爱电脑技术论坛$ J7 H* k1 `" Q/ n' c) g# a
为了确定攻击者是否已成功的进入系统.我们可以对其进行检测.我爱电脑技术社区--打造最好的电脑技术自学交流平台. _4 `7 ]2 U; k, K
首先.先要找到网络中的弱点.Windows网络口令用于使用WEB服务器上的WEB服务.这些网络登陆信息对我们是最有用的.
5 L2 h* F, E* ~' r2 Q" B3 E电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站其次.从一个机器上下载账号名列表.从中选出一些很少使用.例如guest账号.我们就可以使用这个账号来进行多次的登陆.直到它被锁住这样子.我们就可以推测设置了哪些策略了.电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站! h0 v u( G/ X+ g& n0 E2 k+ y
再次.打开脚本.运行whisker(此程序可以在网络上找到以及使用方法)程序.这个程序能够扫描IIS服务器中的公共代理服务器信息.呵呵~抽根烟等待着结果.( E8 W7 R" H: a/ o+ v# x
+ M1 ~4 [) V' P4 k$ [- ?! awww.520diannao.com此外我们还要进行一些设置.
; g3 L) c- W) t/ I m+ l6 Wwww.520diannao.com在计算机中的性能设置:$ F! o- @9 g c$ D4 s" F
1. Web Service-Connection Attempts/sec--Total
5 ^& l4 W6 |) O2 z7 j- B. ^电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站2. Web Service-NotFound Errors/sec--Total
# y' \- Z# l$ b6 \为什么要进行设置这些计数器呢?这两个所设置只是查看发送的信息量.而且whisker要设定为平常的发送量.我们就可以根据它们的计数量和警报来推断了.
$ t l+ r9 ^7 p& {我爱电脑技术论坛
) A3 q1 l# R9 q4 n8 k我爱电脑技术社区--打造最好的电脑技术自学交流平台扫描的结果和这些计数器不断的报警.嘿~看来这位攻击者还在不断的发信息.牛人呀~
1 \) r! G( y( q打造最好的电脑自学交流论坛www.520diannao.com- x' X) z. Q { e4 _4 r8 e5 `
----文件列表----
- B" L" I- l% u; k0 E) o5 Qwww.520diannao.com攻击者们都喜欢把后门文件放在系统的目录下.因为这个文件夹的位置.很少人会去检查.正因为这样子.所以很多的攻击都对该目录感兴趣.也因为这个目录是系统关键目录.比如CMD先加载的都是先扫描该目录.其实这个对于入侵者来说更为经常.为了以防万一.我顺便做一次检查.
e( C% U6 @- I7 M打造最好的电脑自学交流论坛防止这个.我们可以对其进行设置一下.使之不让CMD先扫描该目录.说了这么多.也许你会问.到底是哪个目录.其实就是:
- k! R' A% ?: b8 y3 b$ I. ?我爱电脑技术论坛C:\windows\system32\我爱电脑技术论坛1 z2 h" B! x' j& g }
呵呵~怎么样?感觉是大悟了一番不?电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站8 ~ f3 a& i' Q X" `( A
下面说说怎么对其进行设置呢?
/ i9 N% C# F/ Bwww.520diannao.com1.电脑属性--环境变量--在C:\windows前面加入:C:\cince
5 f! ]# I% s9 ^' T# v/ o1 Z电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站这样子设置后.CMD就先执行C:\cince下的目录了.9 C1 x# A) ~3 M
不过这个方法目并没什么用.只是为了自己的方便罢了.呵呵~有点扯题啦~攻击者应该都不是傻子吧?
7 _. ?7 v, p* N3 U$ S$ K8 W; L: k我爱电脑技术社区--打造最好的电脑技术自学交流平台
5 v* z5 l9 J" H% q1 y1 k我爱电脑技术论坛----日志分析-----
* y" s/ y+ k9 j. l电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站由于日志的工作量太大.因此我们可以采用一些小技巧来完成.说是小技巧.其实也不是.只不过是检查了攻击者攻击后清理的事罢了.我爱电脑技术论坛" H# l( T) L' A$ ~/ Y6 _) G
1. 检查日志是否有断痕(比如说:2008/5/3 1:00-----2008/5/2 0:00.这可以很肯定的说明有人动了你的日志了.当然了.有一些攻击者的行为是更为恐怖.他们采用的是直接删除了你的所有的日志)打造最好的电脑自学交流论坛0 b% ~$ s: P. n* x
2. 有可疑的账号登陆(采用账号登陆这可是最直接的一种攻击手段)
7 q1 k! |7 B4 Y' p9 ?www.520diannao.com3. 是否在不该出现时间段内出现访问.(例如:工作人员吃饭.睡觉.在这段时间内出现的日志估计都不是什么好事.因为工作人员的工作时间很多都是定下来的.有一定的规律性.而攻击者们则常常在于晚上进行)我爱电脑技术论坛. [0 x/ c9 N T8 R
www.520diannao.com( m% n4 \ B. H* ^2 z3 I& Q) \
而后.我查看到了IIS日志中有一个不断扫描80端口的全过程.以及一些他能够得到的一些信息.对于开启WEB服务的服务器来说.大多数的攻击者都是通过这进入的.
, z ]0 O! q: Q1 J6 F打造最好的电脑自学交流论坛审查日志.还有一个关键的作用就是起到了一定的跟踪.
( ^5 R" H2 g# a& f) y& h# X; ^全面检查.必须查看以下的日志文件:
/ q8 f; z' q6 k) s, v- ?电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站C:\winnt\system32\logfiles\*.*
4 K0 Y* l* J4 L' H" k, R电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站C:\winnt\system32\config\*.evt
: t1 T! O5 D- C4 U1 Q3 j电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站C:\winnt\system32\dtclog\*.*4 k" o. `; R* c9 G9 e K, [
C:\winnt\system32\*.log
4 j) t! _7 W# ?/ ~2 W$ z d我爱电脑技术论坛C:\winnt\system32\*.txt
: q1 a- l) ^- l9 C* J我爱电脑技术论坛C:\winnt\*.txtwww.520diannao.com/ c- n+ S* h1 A5 _7 |# W
C:\winnt\*.log打造最好的电脑自学交流论坛$ G( l) Y7 k- n, p( v% o! _1 E
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站: C( h. y& |' P/ a# |& n
此后.打开”TCP/IP协议”将NetBIOS启动或禁用.执行命令:nbstat –a *.*.*.*
& E1 Z0 `# P' E/ v8 pwww.520diannao.com呵~这时出现了”Host Not Found”的错误信息.总算是没有出现共享了.我爱电脑技术论坛% n, m3 l' T: }. B" Y' u' n, l9 f
www.520diannao.com; e8 M; z) C7 T5 K5 @# x3 W
----攻击查找----8 o, W( Y, F$ ~
这个是比较难的.因为这个很多都是涉及到了网络的专业知识.就像这个大家都会知道的:IP:192.*.*.*这类的.我爱电脑技术论坛 \- _2 r" }" e; l) i& Z0 T' O
我们可以根据其IP地址的分配来查找该电脑所在的位置.只要我们找到了所在单位就可以找到所分配的线路.但由于现在仍有很多的用户使用ISP拨号进行上网的.ISP提供商为了增加用户的使用.采用了不记名.自动分配临时IP .不记时.这样就给我们增加了找查的难度了.我们不仅还不能排除攻击者的IP是否是虚假的.而且也不能排除攻击的IP是否进行跳板的处理.还有一个需要值得注意.有一些杀毒软件故意报有攻击的行为.我在我的电脑曾安装有瑞星防火墙.但是曾有一段时间经常接收到阻止攻击的信息.我查了源地址.是来自全世界.也因此我并没有给予很重视.(这里这样子说并不是说瑞星杀毒软件不好.其它的杀毒软件也会出现这样子)这些无疑是给我们的查找增加很多的难度.www.520diannao.com; g2 \8 @' \) }% x' r2 }
对于攻击源查找.我也是没办法进行查找.打造最好的电脑自学交流论坛 @' C4 C* m3 T5 G/ i3 E
不过是有解决的方案:
; r% h0 _! y. i; x( X z打造最好的电脑自学交流论坛1. 报警
- N6 z7 A8 P( J我爱电脑技术论坛2. 砸了电脑.(开个玩笑啦)电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站, |; t; e% B0 X! R' h" h- s* x# D% J
: z! J2 K! m% D" `& x- [电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站----事后感悟-----电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- V7 V& T: z% _; }2 c2 J( a: k
在这次的攻击检测中我们可以看出来.要对于系统的比较的熟悉.而且还可以找出来对方可能会熟悉我们的服务器.因此可能是熟人作案.我们可以采用第三方的工具来实行.当然了采用第三方的估计是高手们都用的招数.所以说在网络曾有传着说”只有菜鸟级的朋友们才用”呵呵~想必大家都知道这句话是明摆着是错的吧~
* ~' z* @6 {0 z/ N- m
5 M1 ~2 `/ h. t; T我爱电脑技术论坛但在这次的攻击检测中得到最重要的经验就是如何使用电脑中自带的一些检测程序.以及对于服务器应该有较高的警惕性.而且要定期的对于日志进行保存.以及上面所提到的方法.在这里再说说了:
7 I8 {1 V) p& V" g% P3 Y我爱电脑技术社区--打造最好的电脑技术自学交流平台1. 在系统安全的情况下枚举出系统的进程.电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站% ?/ z8 C1 v& g2 ?1 \( `! C
2. 对日志的敏感信息进行保存(有点废话)
' {& s) v) ]6 u4 ]我爱电脑技术社区--打造最好的电脑技术自学交流平台3. 安装一些第三方的小工具.比如:冰刃.超级巡警等.我爱电脑技术论坛1 f. q0 z: c5 l; B& o
4. 安装杀毒软件和防火墙.
# v6 j8 u- U, M& V5 s6 T5. 定期备份.并把备份文件保存在安全的位置.打造最好的电脑自学交流论坛! V& S1 q" a' p+ p- ?% L' w( F8 K8 Y
6. 升级系统…..这个不用说啦…..打造最好的电脑自学交流论坛9 T, B N1 T% X7 y
我爱电脑技术论坛8 E# T/ x5 S' `
----END----
