陌路寻踪:谁是黑客?

信息来源: 古典辣M°的书房

最近,咱们网管大黑的心里塌实多了,而且心安理得地睡了几个好觉,原因不在吃了什么“脑心舒”,而是单位最近安装的一套入侵检测系统(IDS)。IDS系统被认为是防火墙之后的第二道安全闸门,它可从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。有了这套软件,来自外部的攻击数据一目了然,难怪大黑感到省心多了。再加上防火墙、杀毒软件、漏洞分析软件等工具的配合,系统开始正常运行了。刚开始几天,系统静悄悄的,显得很稳定。安安稳稳中,阿黑倒也睡了几个好觉。
星期一早上9:30,大黑比平时晚了一个小时赶到办公室,刚到就听到机房里面传来“嘀嘀嘀”的报警声,这是大黑在入侵检测系统中设置的一个报警程序,问题来了!坐到电脑前,大黑对症状进行了分析。病毒?对方根据邮件地址、相关IP地址、漏洞等得到相关信息,然后使用漏洞扫描器“入侵”?对方获得了一定的权限进行破坏?根据黑客入侵的路线,大黑对入侵者的蛛丝马迹进行了逆向侦察。

防火墙端口检查
首先大黑进行了端口分析。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。通过执行端口扫描,大黑注意到有一台服务器的135、139、389和445端口都是开放的,因为单位的复杂人事关系,这台机器必须这样设置。
大黑撇了撇嘴,先看看防火墙。由于木马类型的病毒可轻易地打开网络,即使防火墙将所有的端口关闭。当机器感染特洛伊木马,它仍然可以让网络后门大开。一般来说,防火墙是被连接到互联网任一个网络的整体部分。如果没有安装防火墙,许多攻击可能在管理员不知道的情况下发生,而这样的攻击可能是很致命的,会直接导致计算机宕机,如果没有防火墙,可用路由器过滤掉易被入侵者利用来攻击网络的不需要的协议和端口。最多被使用的是TCP/IP协议。低端的TCP端口135,139,和445 ,以及UDP端口135,137,和445应该被阻拦,还有其它所有未使用的端口。你可以认为防火墙是修筑在你的网络附近的物理墙壁。每次打开端口,就在墙壁打了一个孔来安装窗口。 一些窗口向外,另外一些向内。入侵者能利用窗口但只能看到网络里面有什么。你安装窗口(端口)越多,你的墙壁将变得更加透明。
大黑在命令行中输入“netstat –a”,查看是否有可疑的地方,然后用Fport端口查看工具,查看使用端口的进程。大多数木马或者后门都会打开一个自己的端口单独使用,因此从端口上查看能够发现一些木马后门的踪迹。但是,这并不能对付所有的木马,而且一些打开系统后门的方法也不能这样来检查。大黑注意到机器的端口80和443也是开放的,因此,大黑对这个活动进行了检测。首先,发生了端口扫描,在扫描的过程中,网络的通信量有一个突然的增加。端口扫描通常表现为持续数分钟的稳定的通信量增加,时间的长短取决于扫描端口的多少。键入以下命令:Netstat -p tcp -n ,得到以下结果:
Active Connections
Proto Local Address Foreign Address State
TCP 202.109.100.*:2572 127.199.34.42:135 TIME_WAIT
TCP 202.109.100.*:2984 127.199.34.42:1027 TIME_WAIT
TCP 202.109.100.*:3106 127.199.34.42:1444 SYN_SENT
TCP 202.109.100.*:3107 127.199.34.42:1445 SYN_SENT
TCP 202.109.100.*:3108 127.199.34.42:1446 SYN_SENT
TCP 202.109.100.*:3109 127.199.34.42:1447 SYN_SENT
TCP 202.109.100.*:3110 127.199.34.42:1448 SYN_SENT
TCP 202.109.100.*:3111 127.199.34.42:1449 SYN_SENT
TCP 202.109.100.*:3112 127.199.34.42:1450 SYN_SENT
TCP 202.109.100.*:3113 127.199.34.42:1451 SYN_SENT
TCP 202.109.100.*:3114 127.199.34.42:1452 SYN_SENT

小提示:在安全检测的过程中,端口能直接反映问题所在,在安全测试过程中一般都需要对端口进行详细地检查。

以上信息中,大黑注意到在本地和外部地址上有大量的SYN_SENT信息,同时还有一些ESTABLISHED或TIME_WAIT信息。可以判断,入侵信息的关键在于连续的端口序列和来自同一主机的大量连接。大黑心里纳闷并琢磨着,有连接未必不是好事情,问题的关键在于:他是怎么和大黑进行连接的?

用户追踪
病毒发展迅速,并且许多新病毒每周被发布,谨慎的大黑通过几个大型杀毒站点看了看最新的病毒信息。不过,公司的系统也安装了抗病毒软件,除了定期升级抗病毒软件,病毒软件也被设置为最高安全性,这样,任一种恶意病毒活动的形式都将被禁止。
为了进一步提高安全性,大黑打开任务管理器,看看有没有一些异常的进程,对于每个进程,大黑根据经验进行了比较,特别是类似于系统名称的进程也进行了比较,因为入侵者命名的进程往往很接近系统的进程名。当然,不排除一些入侵者使用可隐藏的进程通过系统进程来达到目的。根据机器的状况和侦察软件的配合,没有发现异常情况。从目前的情况看,系统内还没有木马之类的入侵程序。
公司的人员分布比较广泛,全国各地都有办事机构。因此,大黑采用了限制拨号用户的接入和限制用户从远程登入的功能,并且记录用户活动。使用VPN访问网络是一种可信任的安全方法。比正常PPP 连接,VPN连接的数据相是较不易受拦截。在高安全环境下设定远程连接要求证件检验。在客户端证明上使用强的密码认证方法。远程存取依然是最微弱的链接,如果不正确地实施,在许多情况下将会被入侵者寻找利用。另外,从公司网络划分出独立的网段给拨号用户是一个不错的方法。这种解答可能有许多功能特点。如果网络用户需要拨号回到被预先决定的数字是一个好方式,这样可以保证后面设置连接确实连接到用户的家里。另一考虑是,用户不能在本地机器存放密码,他访问网络的密码不应该被保存,应该在每次连接时键入。
为了确定黑客是否进入了系统,大黑打开“计算机管理”,查看是否有可疑用户出现,即在各个用户组里面是否存在不该有的账号,特别是administrators管理员组,按照一些黑客教程的惯用手法,他们通常把Guest、TsInternetUser 这样的系统提供的账户添加到管理员组里面去。
大黑根据自己的猜测进行了测试,首先是寻找网络中的弱点。Windows网络口令用于使用Web服务器上的Web服务,这些网络登录信息对大黑来说是最有用的,因此大黑决定朝这个方向试一试。首先从一个机器下载账号名列表,从中选出一个很少使用的,例如guest账号。大黑用这个账号尝试多次登录直到它被锁住,这样大黑就能推测设置的是什么账号锁住策略了。大黑启动脚本,并运行Whisker扫描器程序,它使用大黑为IIS服务器编写的一个脚本,来试探公共代理服务器信息。现在,可以坐等结果了。
为了验证猜测,大黑根据系统的特点,在“性能”里面进行了一些设置。果然,在大黑的探测过程中,从一些关键入侵检测记数器指标中接收到许多警报信息。第一个是Web Service-Connection Attempts/sec,在此之前,大黑进行了设置,首先打开“管理工具”中的“性能”图标添加计数器。

根据大黑的经验,这个指标能显示出Web信息量的突然增加。另一个非常重要的记数