前两天朋友的服务器被人挂马了,很可能服务器系统也被人植入了木马,朋友把排查木马的这个艰巨任务交给了我。最后成功地将服务器上的木马借助工具手工清除。(由于当时的过程没有记录下来,所以以下的操作过程是虚拟机搭建的win2003环境,模拟木马清除全过程)。
首先经过某个服务器版杀毒软件的一番扫描后,没有查出任何木马,但是这个完全不能确定服务器上没有被植入木马,接着查看进程,没有可疑的进程出现,查看进程只能对付一些没有插入进程的木马。最好的排查方式是查看端口,凌晨两点网站访问的人也十分少,索性关闭了IIS,以及所有可能进行网络连接的程序,通过冰刃1.22查看到了,一个对外连接的80端口开放,IIS已经关闭,服务器上也没有访问任何网站,显然这个80端口很可能是木马的对外连接。图1
图1
而且很明显是svchost.exe这个进程打开了80端口,更可疑了,甚至可以判定,是某个DLL插入型木马插入到了svchost.exe这个进程,在以某个模块的身份运行。
很高兴的是,在此之前我经常让朋友备份服务器上的加载模块快照,在此时派上用场,通过这些快照可疑迅速的找到可疑的被加载的DLL模块。在这里说一下如何创建进程加载模块快照,在“开始”?“运行”里输入msinfo32.exe,紧接着片打开了一个程序窗口,接着按照下面的方式进行建立,在左侧下拉列表菜单中选择“软件环境”?“加载的模块”,就可以查看到所有进程加载的模块,如图2
图2
然后点击下名称,使列表按照名称排列,都按照此方式,方便以后对照。
