响应日期:12月5日
项目负责人:SQL ( SQL@263.net SQL@isfocus.com )
客户项目负责人:xxx xxx
遭入侵主机的情况初步分析:
入侵主机情况描述:
该主机位于国家xx局的x层计算机办公室,在11月中曾经连续发生数据库被删除记录的事件,最后该网站管理员认定事件可疑,随即向国家xx局网络安全管理部门报告,我公司在接到国家xx局的报告后,立即赶到现场取证分析。
操作系统和补丁情况:
WIN2000个人版操作系统 SP2的补丁包
主要服务用途:
做为国家xx局计算中心内部网站使用,负责发布计算中心内部信息。网站运行IIS5,后台数据库采用ACCESS。
入侵后的行为表现:
主页数据库页面被删除,数据库内容被人非法删改。
之前的安全策略制定情况:
该服务器从安装后没有打全最新的安全补丁 ,系统方面没有做过安全配置,一切采用默认安装状态,该主机补丁包只打到SP2。
现场分析情况:
现场分析主要依据是服务器的IIS日志,利用查找功能在该日志的文件夹里查找是否有被攻击的行为。查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆,只有几次NIMUDA病毒发作的记录,和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在上月11月被来自10.71.1.98 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现,该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员,所以初步怀疑为攻击者。
安全扫描结果分析记录:
1 发现服务器采用FAT32的磁盘格式,建议采用NTFS格式的磁盘分区提供更高的安全可靠性能。
2 没有采取端口访问限制策略,远程主机可以随意连接到电脑上的开放端口。
3 开放的SNMP协议暴露服务器主机的配置和使用情况。
4 没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。
详细的扫描结果报告,请参考附件-扫描报告书
日志分析记录:
我们从IIS 11月16日的日志中发现,来自该IP地址的人曾经下载了该网站的后台数据库:
日志记录为:
00:39:45 10.71.1.98 GET /Default.htm 304
00:39:45 10.71.1.98 GET /CSS.css 304
00:39:45 10.71.1.98 GET /images/nbscc.jpg 304
00:39:45 10.71.1.98 GET /tjnews.asp 200
00:39:45 10.71.1.98 GET /blank.gif 304
00:39:45 10.71.1.98 GET /picnews.js 304
00:39:45 10.71.1.98 GET /picnews.asp 200
00:39:45 10.71.1.98 GET /news.asp 200
00:39:45 10.71.1.98 GET /css.css 304
00:39:45 10.71.1.98 GET /images/test.jpg 304
00:39:45 10.71.1.98 GET /images/more.gif 304
00:39:45 10.71.1.98 GET /images/censes.jpg 304
00:39:45 10.71.1.98 GET /news.asp 200
00:39:45 10.71.1.98 GET /news.asp 200
00:39:45 10.71.1.98 GET /news.asp 200
00:39:46 10.71.1.98 GET /news.asp 200
00:39:46 10.71.1.98 GET /images/jp.jpg 304
00:39:46 10.71.1.98 GET /images/vrvhead.gif 304
00:39:46 10.71.1.98 GET /images/5000.jpg 304
00:39:46 10.71.1.98 GET /images/3000.jpg 304
00:39:46 10.71.1.98 GET /images/office2000logo.gif 304
00:39:46 10.71.1.98 GET /images/mail.gif 304
00:39:46 10.71.1.98 GET /images/tele.gif 304
00:40:59 10.71.1.98 GET /mynews.mdb 200
该记录表明10.71.1.98在凌晨40分的时候非法下载了mynews.mdb数据库,服务器返回200正确请求值,表示请求成功该数据库已经被非法下载。
00:42:14 10.71.1.98 GET /login.asp 200
随后该攻击者直接访问网站的在线管理系统。
00:42:14 10.71.1.98 GET /style.CSS 304
00:42:21 10.71.1.98 POST /chklogin.asp 302
00:42:21 10.71.1.98 GET /mymanage.asp 200
00:42:21 10.71.1.98 GET /style.css 304
00:42:21 10.71.1.98 GET /images/x1.gif 200
00:42:22 10.71.1.98 GET /images/dot.gif 200
00:42:22 10.71.1.98 GET /images/+.gif 200
00:42:22 10.71.1.98 GET /images/-.gif 200
00:42:22 10.71.1.98 GET /images/dot1.gif 200
00:42:22 10.71.1.98 GET /images/x4.gif 200
00:42:22 10.71.1.98 GET /images/line3.gif 200
00:43:20 10.71.1.98 GET /mymanage.asp 200
00:43:20 10.71.1.98 GET /style.css 304
00:43:20 10.71.1.98 GET /images/dot.gif 304
00:43:20 10.71.1.98 GET /images/x1.gif 304
00:43:20 10.71.1.98 GET /images/-.gif 304
00:43:20 10.71.1.98 GET /images/+.gif 304
00:43:20 10.71.1.98 GET /images/dot1.gif 304
00:43:20 10.71.1.98 GET /images/line3.gif 304
00:43:20 10.71.1.98 GET /images/x4.gif 304
00:43:25 10.71.1.98 GET /newschk.asp 200
00:43:25 10.71.1.98 GET /style.css 304
00:43:25 10.71.1.98 GET /images/dot.gif 304
00:43:25 10.71.1.98 GET /images/+.gif 304
00:43:25 10.71.1.98 GET /images/-.gif 304
00:43:25 10.71.1.98 GET /images/line3.gif 304
00:43:25 10.71.1.98 GET /images/dot1.gif 304
00:43:31 10.71.1.98 GET /newschk.asp 200
00:43:31 10.71.1.98 GET /style.css 304
00:43:31 10.71.1.98 GET /images/dot.gif 304
00:43:31 10.71.1.98 GET /images/+.gif 304
00:43:31 10.71.1.98 GET /images/-.gif 304
00:43:31 10.71.1.98 GET /images/dot1.gif 304
00:43:31 10.71.1.98 GET /images/line3.gif 304
00:43:41 10.71.1.98 GET /usermanage.asp 200
00:43:41 10.71.1.98 GET /style.css 304
00:43:41 10.71.1.98 GET /images/dot.gif 304
00:43:41 10.71.1.98 GET /images/x1.gif 304
00:43:41 10.71.1.98 GET /images/dot1.gif 304
00:43:41 10.71.1.98 GET /images/x4.gif 304
00:43:41 10.71.1.98 GET /images/x9.gif 200
00:43:57 10.71.1.98 GET /newschk.asp 200
00:43:57 10.71.1.98 GET /style.css 304
00:43:57 10.71.1.98 GET /images/dot.gif 304
00:43:57 10.71.1.98 GET /images/+.gif 304
00:43:57 10.71.1.98 GET /images/-.gif 304
00:43:57 10.71.1.98 GET /images/dot1.gif 304
00:43:57 10.71.1.98 GET /images/line3.gif 304
00:44:02 10.71.1.98 GET /newschk.asp 200
00:44:02 10.71.1.98 GET /style.css 304
00:44:02 10.71.1.98 GET /images/dot.gif 304
00:44:02 10.71.1.98 GET /images/+.gif 304
00:44:02 10.71.1.98 GET /images/-.gif 304
00:44:02 10.71.1.98 GET /images/dot1.gif 304
00:44:02 10.71.1.98 GET /images/line3.gif 304
00:44:04 10.71.1.98 GET /edit.asp 200
00:44:04 10.71.1.98 GET /style.css 304
00:44:04 10.71.1.98 GET /images/greystrip.gif 200
00:44:37 10.71.1.98 POST /saveedit.asp 302
00:44:37 10.71.1.98 GET /mymanage.asp 200
以上日志清楚的记录了该攻击者非法登陆在线管理系统后的动作和行为。
之后我们发现来自该IP地址的攻击者分别在11月27日 28日 30日 12月3日 6日又分别访问过该站点。并登陆到在线管理员页面继续非法管理该网站信息,详细的问题日志已经整理出来附在报告附件中。
分析入侵者的行为意图:
初步怀疑是内部熟悉该网站结构的人员所为,不排除恶意破坏的行为意图。
黑客所利用安全漏洞和现有安全策略中的不足之处:
由于此名攻击者是直接下载的xx局计算中心网站的数据库文件,之前没有做任何攻击和猜解尝试,表明该攻击者非常熟悉该网站文件和数据库结构,怀疑是内部知情人员所为。建议网站管理员以后应严格限制该主机的物理访问权限。
客户意见:
现场客户要求保持现有主机状态等待进一步的处理意见和结果。
系统恢复和主机安全加固建议:
1 由于主机的数据库名称已经
