windows-server-2003 – 如何对服务器黑客进行验尸

今天早上我发现该机器已经以登录文本框中的未知用户名注销.经过进一步调查,我发现已经创建了两个Windows用户,已经卸载了防病毒软件,并且已经将少量.exe文件放入C：驱动器中.

我想知道的是,我应该采取什么措施来确保不再发生这种情况,我应该集中精力确定进入的途径.我已经检查了netstat -a以查看哪些端口是打开的,并且没有什么看起来很奇怪.我确实在MySQL的数据文件夹中找到了未知文件,我认为这可能是切入点,但我不确定.

我非常感谢对服务器黑客进行良好验尸的步骤,以便将来可以避免这种情况.

调查后审查

经过一番调查后,我想我发现了发生的事情.首先,机器在08年8月到2009年10月期间没有上线.在此期间发现了一个安全漏洞,MS08-067 Vulnerability.“这是一个远程执行代码漏洞.成功利用此漏洞的攻击者可以远程完全控制受影响的系统.基于Microsoft Windows 2000,基于Windows XP以及基于Windows Server 2003的系统,攻击者可以通过RPC利用此漏洞而无需身份验证,并且可以运行任意代码.“使用KB958644安全更新修复了这种可用性,该更新于2008年10月发布.

由于该机器当时处于脱机状态并错过了此次更新,我相信这台漏洞在2009年10月机器重新上线后很快就被利用了.我发现了对bycnboy.exe程序的引用,该程序已经被described as a backdoor program在受感染的系统上造成了很大的破坏.机器上线后不久,自动更新安装了补丁,关闭了远程控制系统的能力.由于后门现已关闭,我相信攻击者随后在机器上创建了物理帐户,并且能够再利用机器一周,直到我发现发生了什么.

在积极追求恶意代码,.exes和.dll,删除自托管网站和用户帐户后,该机器现在再次处于工作状态.在不久的将来,我将监视系统并查看服务器日志,以确定是否发生了重复事件.

感谢您提供的信息和步骤.