今天給菜鳥們說說以入侵者的角度去談談服務器被干掉后,我們該做的哪些防護和檢查工作,大牛的話都比較熟悉系統加固和安全的問題,對于我等菜鳥來說,沒有做過從事過安全方面工作,所以只能從入侵者的角度去說說相對立的工作。因為菜鳥的我們也會自己弄服務器自己建站,又沒有專業的知識,也不是搞什么大項目,所以都只能自己維護了,那么被干掉后,肯定也是得自己做維護和檢查工作了,于是有了下文。
通常服務器被干掉,一般有以下幾種情況,跟著我來看看吧。
1.服務器被拿下最高權限即系統權限
一般為了拿系統權限,基本肯定不會干什么好事,服務器的數據基本都會被打包走,因為系統權限是最高權限能干的事多了,我就不說黑闊們都用著權限干嘛了,你們懂的。
2.服務器被拿下webshell
通常是某個web系統有漏洞,導致黑闊黑盒檢測出來并利用或0DAY什么的,直接得到一個webshell權限,這個權限可大可小,主要還是看服務器的web目錄設置的權限,權限設置不好的話,系統盤目錄都可以一覽無余,當然要是目錄設置嚴謹的話,基本拿到一個webshell不足以搞什么破壞,最多被脫褲和打包(關鍵組件禁用比如wscript,fso等),尤其在找不到提權的情況下,只有一個webshell能干的事就很少了,現在大部分服務器都挺安全,基本能拿下個webshell提權還是挺困難
3.服務器各種數據被社
比如3389終端,FTP,WEB系統管理等等賬戶和密碼被社,或通過上面webshell拿到數據并整理分析得到一定權限的管理賬戶,還有現在流行的XSS用來X后臺和管理賬戶,這些就要根據賬戶所對應的系統而確定權限,比如3389終端賬戶,社到的話那直接就是系統權限了(前提可以登陸的情況,不然神馬都浮云),WEB系統管理就要看是什么系統了,ASP,ASP.NET,PHP的這些都不涉及系統權限,而JSP的系統那就要注意了,權限配置不好的話,那權限可不是一般的大。具體這一種情況被社到的話,能做的事情就依據賬戶對應權限了
4.服務器被C段或嗅探
這種情況和第三種情況不一樣,這需要在同一段內搞下一臺系統權限的服務器,然后才可以進行數據的嗅探,能嗅探的數據很多,比如3389登錄賬戶和密碼,80也就是web系統管理賬戶和密碼等等,能做的事情也同第三一樣,也是根據嗅探到的賬戶對應的權限而定
5.服務器被各種0DAY打了
這個一般菜鳥是做不到的,要么是新出了哪一個0DAY,然后公布于眾了,菜鳥才得以過把癮,0DAY各種各樣,大概分為系統0DAY和WEB 0DAY,系統0DAY比如直接溢出獲得系統權限,反彈SHELL等等,WEB 0DAY一般則是針對某一個WEB系統直接getshell,兩者的權限可以參照以上的,系統0DAY一般能直接得到system權限,WEB則和第二點差不多,還要根據權限大小而確定能干的事。
簡單的被黑后的工作檢查處理流程:
這幾種情況是我們常遇見的,菜鳥的你當服務器被黑闊擼過了,你腫么辦(肯定不會涼拌,再垃圾也是服務器嘛:D,也是自己使用的)?我們可以根據以上的情況,去做相對于的對策和檢測。以下是我自己總結的,若有雷同純屬意外:
1.服務器被干掉了,第一我要做的是,開發的系統都先暫時關閉,系統賬戶密碼都修改一遍,請改之前還要檢查服務器是否存在木馬等。以免被黑闊給你Get Hash(通過某種手段獲取系統密碼的hash值并進行破解得出明文密碼)或明文(那你白干了,黑闊笑嘻嘻,心想你個傻鳥我再監聽你呢)
2.檢查系統是否有多余的賬戶,一般有手工和工具檢查,我這里指談思路,具體要做你自己去實現,比如可以查C:\Documents and Settings\這里,要是創建新賬戶登錄3389后悔在這里生成和賬戶名對應的文件夾,哪怕是神馬帶\$的隱藏賬戶,還有注冊表里也要好好檢查,不懂就工具吧,百度那么好
3.檢查系統開放的端口,自己熟悉的端口就先不管,有陌生的就要查一下,到底是什么程序再使用,有時候可以檢查出木馬或者后門使用的端口,把沒必要的端口都關閉了,避免意外事故
4.檢查日志,菜鳥級別的一般沒辦法清理掉一些日志,可以好好看看,比如IIS,WEB系統自帶的日志功能,系統日志等,這能分析出黑闊都干了神馬壞事,以及你的服務器是怎么被干掉
5.檢查系統各個盤符的以及關鍵目錄的操作權限,比如某2B管理給我搞了服務器,E盤原本沒權限,后來我改為everyone,而恰好他又不去檢查,那只要我WEBSHELL在的話,權限就很大,尤其配合一些提權工具,那是爽歪歪了
6.使用殺毒安全軟件,這個是為了全盤掃描木馬(EXE和腳本以及其他),查殺木馬和修復系統漏洞,至于選擇神馬殺毒軟件,大家自己找,我也不推薦免得被說是槍手,這年頭當好人很難的
7.web系統的腳本后門要好好檢查,一般看看文件操作時間(不過文件時間是可以改滴),用工具審核,還有人工審核,沒能力的找基友,找熟人,還有一種是提前備份好各個系統,出了問題后,把兩個文件打包到本地用Beyond Compare對比分析,當然其他對比分析工具也可以,確保剔除掉黑闊的腳本,另外能找到自己web系統的漏洞最好了,如果你知道黑闊怎么搞你的web系統那你就對應修復吧,記得還有那些變異擴展的腳本也要留意下。
8.安裝安全狗之類的waf軟件,我不是打廣告,反正不少菜鳥遇上狗的服務器,基本都是繞道而行,不然就要被咬了,大牛有辦法繞過,但是不一定會給我等這些菜鳥分享的,所以安裝類似的軟件,雖然不能保證100%防護,但至少給黑闊搞你服務器增加不少困難,也可以阻擋一批所謂的腳本小子(有木有?反正我遇到狗就跑啦)
做好這些之后,剩下的還要自己給服務器加固,哪里被搞了,哪里就應該多留意下,具體的加固,大家自己找資料參考吧,這個是題外話,何況我這菜逼的菜鳥也不是專搞這個的,所以基友就別為難我,我只能略懂一些,各種賬戶密碼設置復雜一些,而且不同的賬戶使用不同的密碼,必備被社工了,社工太強大了,不是你所想象得到的,服務器各目錄嚴格分配,可以參照下星外,還有其他的參考文獻,沒事看看日志,監聽下流量,監聽下端口,黑闊要在你服務器干壞事,肯定會有不少動靜,只要稍微留意一下細節的東西。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:淺談服務器被攻擊后的檢查工作流程
相關文章
