前言：由于工作的特殊性，接觸到這些東西。這篇文章僅僅對一簡單入侵作分析，不具有rootki之類內(nèi)核級木馬！高手見笑，僅供參考

　　正文：剛剛當上學(xué)校某站的系統(tǒng)管理員，負責3臺主機，先檢查一下，發(fā)現(xiàn)一臺主機skin目錄下有可疑文件存在。呵呵，剛上崗就發(fā)現(xiàn)問題，嘻嘻，好好表現(xiàn)。

　　可以肯定，此主機被入侵。

　　操作：

　　1 系統(tǒng)采用2003+iis6.0 ，NTFS分區(qū)格式，權(quán)限設(shè)置正常。Pcanywhere10.0遠程管理。頁面采用動力文章系統(tǒng)，版本3.51修改。 掛接另一網(wǎng)站，采用動網(wǎng)修改版。

　　2 測試發(fā)現(xiàn)，前管理員未注意web安全。動力文章有嚴重上傳漏洞，而未修補。動網(wǎng)版本7.00sp2 ，但不排除已被入侵。隨即，徹底檢查系統(tǒng)，未發(fā)現(xiàn)木馬。確定主機系統(tǒng)安全。但在web里發(fā)現(xiàn)大量webshell，待清除。Iis6.0 無日志記錄!(暈) 

　　3 檢查修復(fù) （ 備份當前web系統(tǒng)。）

　　A 時間查找法：根據(jù)上述文件的最早創(chuàng)建時間，搜索此時間以后創(chuàng)建和修改的所有文件。又發(fā)現(xiàn)許多未知gif，jpg，asp，cer等格式文件。用記事本打開發(fā)現(xiàn)，俱為asp木馬。備份，刪除。

　　B 工具查找法：在手動查找之后，安裝殺毒軟件，全面殺毒，除殺出少部分asp木馬，未有其他發(fā)現(xiàn)。檢查用戶，無異常。檢查C盤，無不明文件。說明，入侵者在獲得web權(quán)限后未進一步提升權(quán)限，但不排除安裝更隱蔽的木馬。待查。

　　C 根據(jù)時間查找法，發(fā)現(xiàn)正常asp文件有些已被修改。其中，動力文章系統(tǒng)管理頁面被插入代碼，將管理員密碼明文保存。代碼與動網(wǎng)論壇明文獲取密碼代碼類似。

　　在其他被修改的asp文件中，發(fā)現(xiàn)有動鯊網(wǎng)頁木馬，icefox的一句話木馬，海洋木馬等，均加密處理。

　　D 修復(fù)；備份此web系統(tǒng)，提取數(shù)據(jù)庫。刪除！還原數(shù)月前備份之系統(tǒng)，檢查，無木馬！導(dǎo)入現(xiàn)在的數(shù)據(jù)庫。刪除動力文章上傳軟件的asp文件，加入防注入代碼。修改所有web管理員密碼，修改所有系統(tǒng)管理員密碼. 升級pcanywhere 到11.0 修改pcanywhere 的密碼并限制ip。打開iis6.0日志記錄。由于掛接的網(wǎng)站，長期未更新，web管理員無法聯(lián)絡(luò)，更改路徑，去除連接，備用！

　　分析：由于主機權(quán)限設(shè)置問題，入侵者可能無法提升權(quán)限。（可能已經(jīng)獲得pcanywhere 密碼，但主機長期保持鎖定狀態(tài)。據(jù)估計是入侵者技術(shù)尚淺。）由他所留文件分析。在獲得webshell的情況下，他上傳cmd文件，但權(quán)限設(shè)置較好，估計為能獲取的太多信息。上傳2003.bat xp3389.exe 等文件，想開服務(wù)器3389端口。但還是由于權(quán)限問題，無法提升。Ps：一臺主機如果安裝pcanywhere ,將無法開啟3389服務(wù)，其主要文件被pcanywhere替換。開啟不了。其他文件為察看進程，安裝服務(wù)等工具，估計在未獲得更高權(quán)限的情況下，得到的信息不足以獲取管理員權(quán)限。唯一注意的是，pcanywhere的密碼文件，是everyone可以察看的，在*:\Documents and Settings\All Users\Application Data\Symantec ,此目錄為everyone可見，其中有pcanywhere的密碼文件*.cif ，網(wǎng)上有密碼察看器，但11.0版本無法察看。呵呵，升級一下吧。