云主機(jī)安全

1.服務(wù)器被入侵后的一些處理辦法

  • 首先要防止對(duì)方通過現(xiàn)有的系統(tǒng)環(huán)境再次登錄,條件允許的情況下最好將WEB FTP MAIL SQL等服務(wù)事先關(guān)閉等檢查需要時(shí)再開啟。

  • 極端的情況下可以直接用IP策略封掉除自己以外所有的雙向網(wǎng)絡(luò)連接。

  • 同時(shí)要保證當(dāng)前系統(tǒng)環(huán)境的穩(wěn)定正常,對(duì)文件的操作建議使用everyone拒絕的形式而不是直接刪除。

(1)系統(tǒng)帳號(hào)檢查

通過本地用戶和組(lusrmgr.msc)查看否存在多個(gè)管理員或克隆用戶。多余的管理員修改密碼后全部禁止,克隆帳號(hào)會(huì)繼承原用戶的數(shù)據(jù),比如帳號(hào)說明之類的很好區(qū)分。打開regedt32 HKEY_LOCAL_MACHINE\SAM\SAM加上administrators全權(quán)(一般黑客已經(jīng)幫你完成了這步)就能看到SAM項(xiàng)下的內(nèi)容。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下可以看到用戶的列表,默認(rèn)的二進(jìn)制鍵值記錄的是帳號(hào)對(duì)應(yīng)的UID,例如0x1f4。UID列表對(duì)應(yīng)于HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 這里是帳號(hào)的權(quán)限信息,例如0x1f4對(duì)應(yīng)000001F4項(xiàng)。找到克隆帳號(hào)修改掉他的UID將其刪除,還原注冊(cè)表權(quán)限。

(2)進(jìn)程檢查

可以通過第三方工具冰刃(iecsword)進(jìn)行進(jìn)程檢查。發(fā)現(xiàn)可疑的進(jìn)程全部關(guān)閉(system32\svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關(guān)鍵的系統(tǒng)進(jìn)程,確認(rèn)進(jìn)程文件路徑的情況下不要去關(guān)閉。) 。如是冰刃中提示存在但進(jìn)程管理器中無法看到的,在該進(jìn)程的“模塊信息中“找出該程序是插入到哪個(gè)進(jìn)程中的并將其“強(qiáng)制解除“(有可能會(huì)系統(tǒng)自動(dòng)重啟,如插入的是系統(tǒng)的關(guān)鍵進(jìn)程,需事先EVERYONE拒絕掉該進(jìn)程文件后再強(qiáng)制解除,DLL文件反注冊(cè)后再執(zhí)行之前的操作)。

(3)系統(tǒng)環(huán)境檢查

檢查C:\Documents and Settings\AllUsers\Documents

C:\Documents and Settings\AllUsers\Application Data

C:\wmpub\wmiislog

下是否有可疑程序。

C:\Documents and Settings下是否有其他用戶的目錄。如果存在則進(jìn)入該用戶目錄搜索.exe .com *.bat可能會(huì)找到一些登錄后用過的工具以便分析入侵過程。

C:\Documents and Settings\xxxxx\LocalSettings目錄下能找到該用戶一些訪問的緩存記錄也有助于分析。

檢查當(dāng)前端口使用狀態(tài),被動(dòng)模式的木馬會(huì)監(jiān)聽端口來等待連接??梢酝ㄟ^netstat -anb |more 來獲取當(dāng)前端口的使用狀態(tài)和對(duì)應(yīng)的程序名(只用于03系統(tǒng))。

windows目錄和system32目錄右擊文件查看詳細(xì)信息→按日期排列后找出最近建立的exe和dll文件對(duì)其進(jìn)行排查。

檢查殺毒軟件的日志記錄,一般通過WEB進(jìn)行提權(quán)的,獲得上傳權(quán)限后會(huì)通過某個(gè)站點(diǎn)上傳WEB木馬這時(shí)候往往可以從殺毒軟件的日志中發(fā)現(xiàn)一些記錄。入侵后上傳的程序很有可能被當(dāng)做病毒清除。通過日志可以獲得木馬路徑以及木馬程序名稱。

檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程序的權(quán)限是否有被修改。

檢查系統(tǒng)啟動(dòng)組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統(tǒng)→登錄要注意。

(4)服務(wù)程序的檢查

檢查SERV-U用戶是否有系統(tǒng)管理員權(quán)限。搜索SERV-U配置文件ServUDaemon.ini 關(guān)鍵字為“system”。如發(fā)現(xiàn)Maintenance=System則此用戶的權(quán)限存在問題,更換SERV-U除兩個(gè).ini外的全部文件以防止捆綁,完成后給SERV-U加上管理密碼。

檢查SQL SERVER是否有system Administrators角色的用戶,是否有用戶擁有多個(gè)庫的訪問權(quán)限。

MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個(gè)用戶的權(quán)限,發(fā)現(xiàn)與ROOT內(nèi)容相同的行一律刪除。

(5)檢查完成后的處理

修復(fù)和更新可能受損的殺毒軟件,重新配置安全環(huán)境。

2.網(wǎng)站被掛馬后的處理方法

  • 確認(rèn)被卦的代碼 → 替換被卦的文件 → 找出木馬 → 關(guān)閉上傳目錄的執(zhí)行權(quán)限 → 通知用戶修改無組件上傳代碼漏洞

確認(rèn)被掛的代碼

確認(rèn)被掛代碼的方式非常簡單,這些代碼都有共同的HTML標(biāo)記:**<\script>或者 <\iframe>**。一般向網(wǎng)頁文件加入下載木馬的代碼都在文件的末尾,語句都是直接調(diào)用遠(yuǎn)程代碼文件下載病毒,例如這倆HTML標(biāo)記里”src“路徑都帶有“http://”,極少部分掛馬者會(huì)將下載木馬的代碼文件直接上傳到服務(wù)器上。我們略作識(shí)別就可以知道哪些文件被掛代碼,如:

(1)文件中包含,這種看上去莫名其妙代碼肯定是被掛在上去的。

(2) 文件中包含,這類代碼有時(shí)候可能是用戶自己加入的,比如進(jìn)行pv統(tǒng)計(jì)等其他流量統(tǒng)計(jì)代碼,判斷是先新建一個(gè)空白htm文件,比如test.htm,將代碼拷貝至文件中,通過本地計(jì)算機(jī)域名訪問(請(qǐng)勿直接在服務(wù)器上訪問),殺毒軟件出現(xiàn)病毒提示則已經(jīng)確定是被卦代碼,判斷不帶“http://”路徑的標(biāo)記是否被掛馬的方式也是如此,方法簡單有效。

(3)同一段代碼在同一個(gè)文件里面反復(fù)出現(xiàn),如圖:

(4)所有代碼的文件屬性中修改時(shí)間都完全接近,如圖:

替換被卦的文件

先從服務(wù)器上確認(rèn)用于存放上傳文件的目錄,一般這類目錄里面全部都是圖片,或者有一部分被上傳上來的木馬程序,在iis里面展開站點(diǎn),右鍵點(diǎn)擊目錄,選擇屬性,打開該文件夾的屬性窗口。在“執(zhí)行許可”窗口里,將腳本執(zhí)行權(quán)限修改成”無”,這樣,該目錄就不具備腳本執(zhí)行權(quán)限了,里面的所有腳本運(yùn)行時(shí)提示403禁止執(zhí)行的錯(cuò)誤。依次查找該站點(diǎn)的其他上傳目錄,也可以將所有存放圖片的目錄都作此修改,預(yù)防萬一。

找出木馬

目前的木馬絕大部分都是asp文件,分為加密和未加密文件,由于木馬文件為了能夠給控制者提權(quán),是需要讀取注冊(cè)表某些鍵值,我們只需要在未加密木馬文件中查找包含“HKLM\SYSTEM\”關(guān)鍵字的文件絕對(duì)都是木馬,用戶程序是不會(huì)去讀服務(wù)器注冊(cè)表的。如果文件已經(jīng)加密,則加密文件中基本上都含有“VBScript.Encode”字符,所以只需要搜索以上兩個(gè)關(guān)鍵字的文件,能夠所處絕大部分木馬文件來,搜索方法如下圖:

關(guān)閉上傳目錄的執(zhí)行權(quán)限

一般無組件上傳都會(huì)特定上傳目錄,用于存放上傳文件。木馬需要被上傳上來首先就要偽裝成圖片上傳到指定的目錄里面,如果我們將該目錄在iis里的腳本執(zhí)行權(quán)限關(guān)閉,即設(shè)置成”無”腳本執(zhí)行權(quán)限,那么上傳的木馬即使在服務(wù)器上也無法運(yùn)行,就不會(huì)對(duì)用戶站點(diǎn)或者服務(wù)器造成危害,方法如下圖:

先從服務(wù)器上確認(rèn)用于存放上傳文件的目錄,一般這類目錄里面全部都是圖片,或者有一部分被上傳上來的木馬程序,在iis里面展開站點(diǎn),右鍵點(diǎn)擊目錄,選擇屬性,打開該文件夾的屬性窗口。在“執(zhí)行許可”窗口里,將腳本執(zhí)行權(quán)限修改成”無”,這樣,該目錄就不具備腳本執(zhí)行權(quán)限了,里面的所有腳本運(yùn)行時(shí)提示403禁止執(zhí)行的錯(cuò)誤。依次查找該站點(diǎn)的其他上傳目錄,也可以將所有存放圖片的目錄都作此修改,預(yù)防萬一。

通知用戶修改無組件上傳代碼漏洞

用戶站點(diǎn)上存在木馬,絕對(duì)是由于用戶的上傳程序存在檢測(cè)漏洞,請(qǐng)及時(shí)更新上傳代碼,以免遭受不必要的損失。

3.怎樣刪除惡意創(chuàng)建的帶點(diǎn)引號(hào)、系統(tǒng)名等的特殊文件夾或文件?

  • 一些客戶的網(wǎng)站被上傳了木馬之后,經(jīng)常會(huì)被創(chuàng)建一些惡意的文件夾,比如帶點(diǎn)的文件夾image.和系統(tǒng)保留字符命名的文件con.asp等,直接刪除這些文件或文件夾的時(shí)候會(huì)提示報(bào)錯(cuò)。

  • 碰到這些特殊文件的刪除,可以用以下代碼清除:

@echo y|Cacls %* /c /t /p Everyone:f

DEL /F/A/Q \\?\%*

RD /S /Q \\?\%*

將以上代碼保存為bat文件,將要?jiǎng)h除的文件或文件夾拖到這個(gè)批處理里面就會(huì)直接刪除了。

4.云主機(jī)如何重設(shè)mysql密碼(linux系統(tǒng))?

linux系統(tǒng)

(1)先結(jié)束mysql進(jìn)程#killallmysqld

用mysql安全模式運(yùn)行并跳過權(quán)限,用root登錄,此時(shí)不需要密碼

#mysqld_safe–skip-grant-tables

#mysql–uroot

(2)現(xiàn)在開始重設(shè)密碼

#mysql>usemysql;

Readingtableinformationforcompletionoftableandcolumnnames

Youcanturnoffthisfeaturetogetaquickerstartupwith–A

Databasechanged

Mysql>upsateusersetPassword=newpasswordwhereuser=‘root’;

QueryOK,2rowsaffected(0.02sec)

Rowsmatched:2Changed:2Warnings:0

Mysql>quit

(3)重新啟動(dòng)mysql服務(wù)

#servicemysqldrestart