反黑之路：渗透＋分析＋反击

朋友的站点流量很大，这不，站做大了，黑客就来了……

X日，朋友打电话给我，说站被黑了。接着我打开页面看了下，见所有的页面都自动弹出一个比较恶心的窗口，郁闷。查看页面文件源代码，发现里面没有一个陌生的调用。郁闷中！

这样子怎么行，要朋友说我技术不过关？——No！

我问他文章调用页面一共调用了几个js，然后挨个分析。我是这么想的：既然源代码没有陌生的调用，那么问题肯定在本地的服务器。我在浏览器打开 http://www.myxust.net/js/hacker.js、http://www.myxust.net/js/heike.js这样子形式的链接，一个个提示我下载，最后一个却转向了另一个页面！htt://www.hacker.com.cn/pop.js！一定就是这个的问题了！

说到这里，可能有的朋友会问，怎么会有这样子的问题呢？我点的是本地的链接，怎么转到人家网站去了？且听游侠细细道来：

在微软的IIS里面，有这样一个选择项，可能很多朋友没有注意过，在IIS选项的“主目录”－“此资源的内容来自”－“重定向到URL”：

看到了？即使你输入你的网址，你的网址也可以转到这个js文件，这个是对整个网站的重定向，你也可以用下面的这个对单个文件重定向：

在IIS管理里面，找一个你要重定向的文件，点右键，属性。出现下面的窗口：

这样子，随便你怎么输入aboutus.html这个文件，都会转到www.myxust.net的页面去，黑客用也应该是这种方法了。既然他能做到这一步，推测他要么是高人，可以在CMD下面搞定，要么，也是最大的可能，就是和我一样，用GUI搞定。这么说，最大的可能是他已经可以完全操控这台计算机了，并且有基于GUI的远程控制工具。

朋友打电话问托管机房的管理员，管理员也证实了我上面的推测。于是，受朋友委托开始了“征服”这台服务器的路程！

渗透：

当然，既然朋友的网站在上面放着，当然不能做的很过分。不过既然人家黑客可以搞定，当然我也必然可以搞定。开始行动。

首先用老兵的whois查询工具，发现上面绑定了七八个网站，依次打开，最终只有两个可以显示的。就是朋友的这个，另外一个是某地政府的信息网。朋友的站用的系统我很熟悉，应该不存在什么问题，那么就对不住这个政府的了……

网站是asp的，用NBSI居然没有发现漏洞，出乎我的意料。但是有论坛……

可惜，是DVBBS 7 SP2的，好像截止现在还没有最新的漏洞出来。郁闷。

随手输入username：admin，password：admin888——居然进去了！天啊，中奖了！

好的，进入后台吧，输入这个用户名、密码却提示不正确，看来是被修改过了。没有办法了？No！输入：http://www.gov.com/data/dvbbs7.mdb游侠的TT就提示我下载数据库了，到这里是不是很多读者羡慕我的运气了啊？呵呵，没办法，命好！^_^

发现有两个管理员，一边复制了md5字段用破解工具进行破解，一边想别的办法，因为暴力破解实在要靠运气，虽然命好，但是“上帝是不会永远把所有的运气都给你的”，还是要自力更生，就算艰苦也要奋斗！

打开数据库，找到Dv_log表，在l_content这一列里面搜索“oldusername”找到下面的这个：

------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=%B8%FC+%D0%C2”
------------------------------------------

oldusername、username2、password2，看到了吧？嘿嘿，这个可是后台登陆的用户名和密码啊。赶快登陆哦！

对了，现在先在前台上传一个改名.gif的木马，进入后台用数据库备份的方法改成.asp的，详细方法偶也不说了，看图操作。呵呵

这样子我们就有了一个在aspmm目录下面的名为ok.asp的木马。

拿这个webshell查看硬盘，却一片空白。很明显的设置了目录的访问权限。

怎么办？上传个东东再说。随便建立个asp文件，上传，没有问题。好，有戏！看来要用ServU了？呵呵。试试看：

晕，怎么会这样子？设置过了哦，不过，可能是ServU修改的，先上传一个提升工具再说。

上传serv-u.exe，用webshell执行，居然有提示信息……嘿嘿。那就不客气了！下面的截图是这个权限提升工具的利用方法。偶直接调用cmd添加管理员帐号并添加到管理员组。

先执行：servu.exe "cmd.exe net user SQLBackUper fuckusa /add"

再执行：servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"

因为我知道这台机子装了SQL Server，所以起了这么个迷惑人的名字。现在就有了管理员权限了！接着用 3389.exe 远程开启终端服务。终于搞定了……

偶不急先登陆上去，webshell用习惯了，速度很快，比终端服务快一些。

这个是在命令行下面解除对用户访问权限的命令，我执行：

servu.exe "cacls.exe c: /E /T /G everyone:F"

这样子解除了C盘浏览的限制，当然我现在可以解除所有盘的限制嘿嘿

查看C盘下面，果然是装了Serv-U，不过版本却是6.0，晕的厉害，难道这个5.1提升工具也可以提升6.0的？幸福哦。

现在好了，用终端服务连接了。

分析：

上去之后，发现在我上传webshell的那个站点目录下面，还有几个webshell，估计黑客早就来过好几次了。赶快删掉DVBBS备份数据库的文件，改名数据库。这样子好一些了。

再看其它的目录，因为只开了两个网站，倒也没有多少可以测试的。权限重新设置，因为我们现在有管理员帐号了。配置回原来的权限。封锁c、d、e盘的iis帐号浏览权限。

现在想想，黑客就是像我这样子，拿到一个webshell，提升权限搞到管理员，然后用iis的url重定向功能把朋友站的正常js文件转向到他的恶意站点，没错的了，就是这样子！

现在开始清理战场。

删掉自己的所有日志文件，估计管理员也不会来看，所以没有必要搞掉仅仅属于自己的那一部分，给升级下杀毒软件。因为是帮朋友，所以没有必要留下后门什么的。^_^

然后呢？既然知道黑客是用GUI进来的，当然要查黑客的踪迹！

检测各种RootKit，没有发现异常；

检测启动项，【发现异常】；

恩，有Radmin的踪迹哦，打开注册表，在“KKEY_LOCAL_MACHINE”下面的Software和System下面均发现有Radmin的信息，干掉。然后找到Radmin的文件删掉。

并且，在Radmin的信息里面，有它保存日志的地方，就在C盘根目录下面，文件名是logfile.txt，各位黑客兄弟，记得黑站之后用了Radmin一定要修改日志到一个隐秘的文件夹啊！下面是内容：

嘿嘿，这下子被偶搞到了吧？你的连接时间、连接的IP都在这里，还想跑？嘿嘿……

如果有时间，去看看Windows的日志也是个好主意，不过太多了，偶怕怕。

反击：

其实在上面，我们已经做了一些加固，也就是相当于反击黑客的动作，下面我们继续：

服务器装有BlackICE防火墙，先添加一条规则，干掉这个IP再说。

在“类型”这里，添加TCP、IP协议，对221.237.66.91进行过滤，永远拒绝。这样子黑客的IP就没法访问这台服务器了。当然，可以设置更加严格的策略，只允许FTP、WEB和终端服务通过，这个也可以通过Windows的策略或TCP/IP筛选来实现。

刚才我们已经在上面对事件分析的时候做了一些设置，再加上现在的设置，现在基本差不多了。

恩，还有SQL Server，被人家用了这个可不是好玩的，修改下：

　　use master

　　sp_dropextendedproc 'xp_cmdshell'

改名黑客可能利用的文件：xpsql70.dll

好了，做好了这些基本差不多了，相信没有什么问题了，可以放心的去睡觉喽！^_^

原文转自：http://www.ltesting.net