13黑客攻击案例

黑客攻击案例

案例分析：广东某市政府某局网站入侵

关于的入侵分析

一：事件背景

广东某市C局所属网站 (IP: 61.xxx.xxx.17)于2001年4月期间遭到黑客恶意攻击，造成网站网页被修改。在此情况下，深圳市XX科技有限公司于2001年4月17日受某市S局的委托，前往机房现场取证。

二：服务器基本情况以及已获取资料

该服务器操作系统为Windows Nt Server 4.0，安装有IIS 4.0，对外使用FIREWALL 屏蔽，只开放WEB服务。我方技术员收集获得MS IIS 4.0 2001年4月13日至4月17日HTTPLOG和FTPLOG。

三：分析

由于该站受入侵后的直接现象为网页被修改.并且该站受到PIX FIREWALL防卫，对外只开放80端口，所以初步估计是通过IIS远程漏洞获得系统控制权的，IIS 4.0默认下存在ism.dll，msadcs.dll，unicode等获得网页修改权限的远程漏洞。于是我公司技术人员对该服务器的MS IIS 4.0 2001年4月13日至4月17日HTTPLOG日志文件进行详细的分析和过滤，得出以下结论：

入侵者利用unicode漏洞从而可以使用web端口提交执行命令的请求,修改网站主页。

被更改的页面如下：

从分析中我们可以得出在2001年4月17日来自同一IP的入侵者试图使用unicode 漏洞远程执行命令，达到修改网页的目的。

攻击时间为: 2001年4月17日4:34:19-2001年4月17日5:25:43

入侵者IP地址为：152.158.208.65来自于美国

四：结论

入侵者是利用Unicode远程漏洞获得系统控制权，多次远程执行命令，了解服务器结构后，修改网站主页。锁定IP为：152.158.208.65来自于美国；攻击时间为：2001年4月17日4:34:19-2001年4月17日5:25:43；入侵者物理地址为美国