安全专家：真实的网络攻击取证纪实(1)

【51CTO.com 专家特稿】随着信息技术的发展，越来越多的人都喜欢用计算机办公，发邮件，建设自己的个人站点，公司建立自己的企业站点，政府也逐渐的采取了网上办公，更好的为人民服务，银行和证券机构也都开始依托互联网来进行金融和股票交易，但是随着方便的同时也同时带来了新的一些计算机网络安全隐患，随着司法机关的介入，我相信在不久的将来，网络攻击调查取证也会成为立法机构必须要考虑设立的一门新的学科，目前来说开设这个的课程多在网络警察和一些特殊机关，现在我来给大家讲下我亲身经历并参与完成的一次取证过程，用事实来讲述；

我一直从事病毒分析，网络攻击响应相关的工作，这次应好朋友的邀请，帮忙配合去协查几台服务器，我们来到了某XXX驻地，首先进行例行检查。经过了1天左右的时间的检查，其中用到了一些专用设备也包含自主编写的工具以及第三方提供的勘察取证软件，共发现问题主机服务器10台，其中2台比较严重，（以下用A服务器和B服务器来代替）和朋友商定后，决定带回我们的实验室，进行专项深入分析。

习惯的检查步骤操作：

服务器操作系统版本信息——>操作系统补丁安装情况——>操作系统安装时间，中间有没有经过进行重新安装——>服务器维护情况——>服务器上面安装的软件版本信息

日志检查——IDS日志信息/IIS日志信息/系统日志信息
网站代码审查——是否存在一句话木马，源代码上是否存在恶意代码插入
杀毒软件版本更新情况——是否是最新版本，配置的是否合理，配套的监视是否全部打开
数据恢复——>利用专用数据恢复软件进行数据恢复，恢复一些被删除的日志信息和系统信息，曾经安装过的文件操作信息。
提取可疑文件（病毒、木马、后门、恶意广告插件）——在系统文件目录利用第三方或者自开发软件，对可疑文件进行提取并进行深度分析。

上述步骤是我个人总结的，有不妥的地方还请朋友们指正，介绍完理论，我们来实践处理下这两台服务器。

A服务器检查处理过程

该A服务器所装的操作系统是Advanced 2000 server，服务器上安装的有瑞星2008杀毒软件，病毒库已经更新到最新版本。但是并没有安装网络防火墙和其他系统监视软件，安装的ftp服务器版本为server-u 6.0（存在溢出攻击的威胁）

一 对原始数据进行恢复
利用Datarecover软件来恢复一些被删除的文件,目的是希望从被删除的文件来找出一些木马或者后门以及病毒。进行深度分析，把曾经做过的格式化，以及在回收站中删除过的文件恢复过来，但是遗憾的是成功拿下这台服务器权限的黑客已经做了专业处理，把他的一些痕迹进行了全面清理，个人认为他使用了日本地下黑客组织开发的专项日志清除工具，经过我和助手的共同努力还是把系统日志恢复到当年5月份。

二 手工分析可疑文件
在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的，是系统粘制键，真实的大小应为27kb，而这个文件为270kb，起初我以为是由于打补丁的原因。但是经过翻阅一些资料和做比对之后，才知道这样的文件是一个新开发的流行后门，主要用法：通过3389终端，然后通过5次敲击shift键，直接调用sethc.exe而直接取得系统权限。随后达到控制整个服务器，通常他还是通过删除正常的一些c盘exe文件。然后把自己伪造成那个所删除的exe文件名。造成一种假象。

这里我们提供解决方法如下：个人建议这个功能实用性并不高，建议直接删除这个文件，如果有人利用这个手法来对你的服务器进行入侵，那就肯定是有人做了手脚，可以第一时间发现黑客入侵行为，也可以作为取证分析的一个思路；在控制面板的辅助功能里面设置取消粘制键。