简单记录下入侵过程

很久没有入侵过服务器了。这次入侵的起因是学校社团的服务器页面遭到挂马了，但是有意思的是，挂马的iframe代码时有时无，在服务器上查看源代码也没有问题。于是排除了直接改源文件的可能和DNS遭到劫持的可能。

看了下挂马的地址是跟自己服务器同C段的，因此猜测可能是遭到了ARP欺骗攻击，但是不确定是有人故意攻击我的服务器还是属于批量攻击。于是目标就先锁定这台挂马的服务器。

扫描了端口，开了不少，21,80,3389一些常见的端口都开着，3389了下，看到是win2003。百度了下IP，么有有用信息，google了下，发下了这个IP上绑定了的域名，对该域名进行whois，发现了很多信息，逐步的又发现了很多关于这个域名注册者的信息，有gmail邮箱，居住地信息，在网络上的活动痕迹，可能还有工作地点信息和生日年份，简单的尝试猜解gmail邮箱失败。换个思路，访问下IP看看下面是什么站，由于运营商封掉了直接访问IP，因此我用我自己的域名绑定了下这个IP，访问发现是个N点虚拟主机管理系统，果断搜索引擎看看默认后台和账号，然后运气很好的就进入了N点的后台。

接下来就是建立个虚拟主机，配置他支持.net，这样果断上一个webshell，然后就是一通提权尝试。。。经过了6个小时的尝试失败了，常用的提权的路都试过了，由于很久没有搞过了，手头也没有能用的本地溢出，已是凌晨两点多，睡觉先。。

一觉醒来，回到N点看了下，发现貌似我可以配置应用池，果断配置成本地，然后再去webshell里执行添加用户的命令，成功，拿到administrator权限了。

剩下的事情就是简单清理下战场，然后上3389，下载360急救箱进行查毒（尼玛，100多个病毒啊。。还是两个用户的，看来至少进来过两个人了。。），自己写个C程，替换掉粘滞键那个程序，修改N点的默认密码，添加了个N点的隐藏管理员，收工，貌似清完病毒后，我的网站没有再出现过挂马代码，再观察段时间吧，到QQ安全管家网站申诉下网址安全了。

最后总结下：

1、尽量避免用windows主机吧，虽然配置下也挺安全，但是真正下工夫配置的有几个呢，很多人都是保持默认的，相比在默认情况下，linux可能会相对安全些。

2、即使买了服务器空间不用，或者只是买了测试，也不要保持默认的密码好吧，你这是对于自己邻居的危害啊！

3、这次不是个针对我的网站的定向的攻击，因为在尝试提权的6个小时里，我看过netstat和进程，发现这台机器还在尝试批量攻击别的服务器，所以应该是病毒行为。

4、没有了，就是不要再遇到这种蛋疼的事情了，大好的周末又泡汤了。。。看书去。。。。