频道栏目
首页 > 资讯 > 其他综合 > 正文

广东某网站遭美国黑客入侵分析报告

2004-10-03 14:48:10           
收藏   我要投稿

中美撞机事件造成的僵局已有缓和迹象,但此事引发的网络大战却有愈演愈烈之势。自4月4日以来,美国黑客组织PoizonBOx已经袭击了至少一百家中国网站。一个以涂改网页著称的美国黑客甚至叫嚣说:“所有的美国黑客们联合起来吧!把中国的服务器全都搞砸!”对此,我国的网络安全人员积极防备美方黑客的攻击。

  4月20日,我们收到了深圳市一名网络安全工程师的邮件,他将自己处理的美国黑客入侵我国一家网站的分析报告公布出来,希望以此引起大家的警觉,并采取实际措施加以防护。下面是邮件全文:

  你好!编辑!

  我是安络公司的安全工程师。最近美国黑客因撞机事件对我国一些政府网站发动攻击,来势凶猛,我公司安全紧急响应中心已经接到7、8个这样的案例。

  根据我们对这些案例的入侵过程分析,发现美国黑客并没有采用非常高明的手段,而大多是选择弱者,找那些安全防护措施做得很少的网站进行攻击,其中用到了几个危害很大的安全漏洞,下面的一个例子在我国很多网站上都很常见。希望贵网通过互联网媒体的形式,将类似这样的入侵案例披露出来,引起大家的警觉,并采取实际措施加以防护。

  谢谢!

  案例分析:广东某市政府某局网站入侵报告

  关于www.xxxx.xxx.cn的入侵分析

  一:事件背景

  广东某市C局所属网站www.xxx.com.cn (IP: 61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击,造成网站网页被修改。在此情况下,深圳市安络科技有限公司于2001年4月17日受某市S局的委托,前往机房现场取证。

  二:服务器基本情况以及已获取资料

  该服务器操作系统为Windows Nt Server 4.0,安装有IIS 4.0,对外使用FIREWALL屏蔽,只开放WEB服务。我方技术员收集获得MS IIS 4.0 2001年4月13日至4月17日HTTPLOG和FTPLOG。

  三:分析

  由于该站受入侵后的直接现象为网页被修改.并且该站受到PIX FIREWALL防卫,对外只开放80端口,所以初步估计是通过IIS远程漏洞获得系统控制权的,IIS 4.0默认下存在ism.dll,msadcs.dll,unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MS IIS 4.0 2001年8月17日至月17日HTTPLOG日志文件进行详细的分析和过滤,得出以下结论:

  入侵者利用unicode漏洞从而可以使用web端口提交执行命令的请求修改网站主页。注:漏洞详细信息请见:www.cnns.net/article/db/822.htm

  被更改的页面如下:

  


  从分析中我们可以得出在2001年4月17日来自同一IP的入侵者试图使用unicode漏洞远程执行命令,达到修改网页的目的。

  攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43

  入侵者IP地址为:152.158.208.65来自于美国

  四:结论入侵者是利用Unicode远程漏洞获得系统控制权,多次远程执行命令,了解服务器结构后,修改网站主页。锁定IP为:152.158.208.65来自于美国;攻击时间为:2001年4月17日4:34:19-2001年4月17日5:25:43;入侵者物理地址为美国

上一篇:盖茨:绝不手软 呕死黑客
下一篇:各软件公司加入反垃圾邮件阵营 开发工具更有效
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站