服务器被入侵之安全解决方案

一 ：分析黑客入侵与放后门过程 1.通过网站漏洞进入后提权然后克隆管理员账号 2.上传ASP或PHP木马并隐蔽深的目录 3,通过入侵C段机器ARP目标主机得到敏感信息 4,社会工程学入侵 （MINCK有本著作《欺骗的艺术》) 5.留后门,比如鸽子远程控制软件,radmin远控软件等 系统级后门黑客之门:hxdef100(黑客守卫者)  粘贴键后门 administrators万能密码后门 Rootkit等 6.asp或php一句话后门

二.账号安全性检查
1.查看有没有可疑用户登录:
方法一:在计算机管理里面查看用户,有没有新建立的.
方法二:进入Cocuments and Settings目录,看看有没有可疑账户的文文件夹.
方法三:到事件查看器里的安全日志里查看成功登录的有没有可疑用户.

2.查看管理员用户有没有被克隆
特点注意被禁用的guest用户.
方法:到注册表里检测

1. 
   

2. 
   

3. HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusersHKEY_LOCAL_MAICHINESAMSAMDomainsaccountusernames
   

4. HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusers
   

5. HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusernames

三.检查ASP木马和PHP木马
技巧:
1.在整个网站或论坛的文件夹上单击右键搜索
2.在全部或部分文件名里输入.php 或asp,在查找范围里选你的整个网站文件夹
或整个论坛的文件夹.
提示:在全部或部分文件名里,也可以不输,这样就搜出任何文件,从这些文件中我
们就可以看出是不是木马,后门之类的可疑程序..(这些程序不一定是php,asp,可
能是exe等其它后缀名的后门程序)

3.然后点击—什么时候修改的?—-指定日期—输入你的网站或论坛被入侵的日期.(修改文件的日期)—-然后点击搜索.

提示:因为我们的网站程序和论坛程序.asp或.php文件非常多

不可能一个一个去查找是不是木马,所以非常巧的利用被修改的或被创建的指定日期来大大的缩小范围,这样就比较容易找出木马来.

一般入侵者上传木马时——–选创建日期
在正常程序中插入木马时——选修改日期

4.判断asp或php是不是木马的方法,有二种

1>.直接打开每个程序,看看里面的代码,有些是加密过的,所以一般很容易分辨出来.
2>.还有一种方法就是直接在浏览器里输入整个网址,看看这个文件会显示什么内容,是木马的话就直接显示一个登录密码的框,所以也一下子就知道是木马.

1. "〈%execute request("l")%〉"

四.检查asp和php的一句话后门
一般入侵者在得到一个网站的webshell后,为了以后再能进来,一般会在网页中插
入一句话木马,方便以后进来,一句话木马隐蔽性非常强,在这么多文件中,我们根本不知道插在哪个文件里面

如果一个一个找,一个一个搜,是不太可能的.所以我们要掌握一定的技巧.
asp的一句话后门:

PHP的一句话后门:
第一种:

1. 
   

2. 
   

3. EOT;eval($a);print <<<EOT
   

4. EOT;
   

5. eval($a);
   

6. print <<<EOT

第二钟:

1. a′]=′aa′;eval($_POST[′a′]);//

第三种:

1. a′;eval($_POST[′a′]);//

运用的检查方法和检测asp或php木马一样,先在搜索指定日期被修改的或创建的
文件,然后一个一个文件内容里搜索以下关键字:
asp一句话木马: 搜索关键字:〈%execute
PHP一句话木马:搜索关键字:eval
一般通过上面的方法很快就查出一句话后门搜在哪个页面里面.

五.检测服务器的木马与后门程序.
木马类:鸽子 radmin
后门类:hxdef100(黑客守卫者)  Rootkit 内核级后门,隐蔽性强
一般黑客在得到系统权后,为了进一步控制系统一般会以下组合:
功能强大的远控软件 + 后门 + asp PHP 木马 + 一句话后门
—————————————————–

检测方法:
冰刃—可以查出常见的远程控制软件
被插入的进程以红色显示.
用冰刃结合可疑的服务,端口,进程和注册表项来综合检测.
rkdetector—可检测出hxdef100 ,Rootkit.

清除方法:
对于鸽子—金山出的鸽子专杀 +鸽子专杀(所用版本)
对于hxdef100
net stop  HackerDefender100   
搜索hxdef100.exe和hxdef100.ini;找到后删除就可以了.

注:对于phpwind论坛还要检查的:
1.看看有没有被管理修改上传类型文件,比如改成了可以直接上传php
2.看看有没有在后台风格或其它地方插入了php一句话木马.
3.查看可疑的新建的管理员,等安全检测安全..

—————————恢复善后工作—————————
一：清除黑客入侵时留下的系统木马 脚本后门 DEL掉黑客建立的隐藏账户 修复网站自身漏洞达到加强安全作用
二：对黑客入侵时所留下的所有相关文件 日志 木马 黑页等做个备份 将来可以
做追究其责任 一般你的如果不是什么敏感级的站点他是不会出动数十台傀儡机做vpn进行渗透的
三： 服务器安装ARP防火墙， 如果IP没有绑定MAC的话绑定了 必要的绑定网关
四； 注意自己的网络习惯， 如果是经常注册一些论坛的话密码不要都是一样的, 那样会很容易被社工 资料最好不要用真实的  
五； 在没有确认对方真实身份的时候不要相信任何人， 即使是你最亲密 最要

本文始发于微信公众号（飓风网络安全）：服务器被入侵之安全解决方案