我有一台 Windows Server 2003 SP2 计算机,上面安装了 IIS6、SQL Server 2005、MySQL 5 和 PHP 4.3。这不是一台生产机器,但它通过域名向外界公开。机器上启用了远程桌面,并且有两个管理帐户处于活动状态。
今天早上我发现机器已注销,但登录文本框中仍显示未知用户名。经过进一步调查,我发现已创建两个 Windows 用户,已卸载防病毒软件,并且少量 .exe 文件已放入 C: 驱动器中。
我想知道的是,我应该采取什么措施来确保这种情况不会再次发生,以及我应该关注哪些方面来确定入口途径。我已经检查了 netstat -a 以查看哪些端口是打开的,那里没有任何异常。我确实在 MySQL 的数据文件夹中发现了未知文件,我认为这可能是入口点,但我不确定。
我真的非常感谢对服务器黑客攻击进行良好的事后分析的步骤,以便我将来可以避免这种情况。
调查后审查
经过一番调查,我想我已经知道发生了什么。首先,这台机器在 2008 年 8 月至 2009 年 10 月的时间段内没有上线。在此期间发现了一个安全漏洞,MS08-067 漏洞。“这是一个远程代码执行漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。在基于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的系统上,攻击者可以通过 RPC 利用此漏洞而无需身份验证,并可以运行任意代码。”此漏洞已通过 2008 年 10 月发布的 KB958644 安全更新修复。
由于当时机器处于离线状态,错过了这次更新,我相信这个漏洞在机器于 2009 年 10 月重新上线后不久就被利用了。我发现了一个 bycnboy.exe 程序,它被描述为后门程序这会给受感染的系统造成严重破坏。机器上线后不久,自动更新就安装了补丁,从而关闭了远程控制系统的能力。由于后门现已关闭,我认为攻击者随后在机器上创建了物理账户,并能够使用该机器一周,直到我注意到发生了什么。
在积极追查恶意代码、.exe 和 .dll、删除自托管网站和用户帐户后,该机器现在又恢复了工作状态。在不久的将来,我将监控系统并查看服务器日志,以确定事件是否再次发生。
感谢您提供的信息和步骤。
答案1
事后分析本身就是一门黑魔法。每次分析都有所不同,因为实际上没有两次入侵是相同的。考虑到这一点,下面是我推荐的流程的基本概述,并针对您的情况提出了一些具体说明:
- 从物理上断开计算机与网络的连接。(真的。现在就这么做。)
- 可选步骤:制作硬盘的二进制映像副本以供将来使用。
- 将所有日志文件、有价值的数据等复制到可移动硬盘上
- 也可以选择复制你找到的任何“黑客工具”
- 开始实际的事后分析。对于你的情况:
- 注意任何新的或丢失的用户帐户。查看他们的主文件夹是否有任何“有趣”的内容。
- 注意任何新的或丢失的程序/二进制文件/数据文件。
- 首先检查 MySQL 日志 - 查找任何“不寻常”的内容
- 检查其余的服务器日志。看看是否可以找到正在创建的新用户、他们登录的地址等。
- 寻找数据损坏或被盗的证据
- 找到问题的原因后,请注意如何防止其再次发生。
- 清除服务器:格式化并重新安装所有内容,恢复数据,并使用#5 中的笔记堵住原来的漏洞。
如果您要涉及执法,通常需要执行步骤 2。执行步骤 3 是为了在服务器重建后查看信息,而不必阅读您在步骤 2 中制作的映像副本。
步骤 4 的详细程度取决于你的目标:仅仅堵塞漏洞与追查谁窃取了一些有价值的数据是不同的调查:)
在我看来,第 6 步至关重要。您不会“修复”受感染的主机:您会将其清除并从已知的良好状态重新开始。这可确保您不会错过留在主机上的定时炸弹等恶意漏洞。
这绝不是一个完整的事后分析大纲。我将其标记为社区维基,因为我一直在寻找改进流程的方法 - 我不经常使用它 :-)