我有一个 Windows Server 2019 VPS 用于托管网站。它有所有最新更新。但不知何故,有一个(部分)黑客攻击企图。我第一次注意到它是通过我收到的有关 Microsoft Register Server (regsvr32.exe) CPU 使用率高的短信。在本网站和流程探索原因是ProgramDAta
文件夹中的一个 DLL。
我在那里找到了一个名为 的 zip 文件set.zip
。包含以下 5 个文件。comhij.dll
、、let.exe
和。似乎 .bat 文件已执行并正在运行脚本。但它以某种方式失败了,rn.bat
也许是 Windows Defender 或其他程序阻止了它,x.mof
导致xg.dll
CPU 占用高。我知道这一点,因为 .bat 中的最后几行导致它自我删除。我找不到脚本想要进行的任何更改。
我将 zip 复制到自己的电脑上,Norton 360 立即将 let.exe 识别为 Hacktool,将 comhij.dll 识别为 Trojan Horse,将 xg.dll 识别为 Trojan.Get.MTB。
服务器的 Windows 防火墙处于活动状态,并且处于提供程序级别传输IP防火墙也处于活动状态。
我发现这个应用程序set.zip
是由其中一个 AppPools 创建的(托管一个DotNetNuke 内容管理系统如果这很重要的话)并且没有 FTP 访问权限。
所以我的问题是如何找出这种情况发生的原因以及如何在将来防止这种情况发生?AppPool 如何将文件写入其根目录之外的磁盘?根据要求,我可以发布整个 .bat 脚本。
答案1
这是怎么发生的?
您的网站(无论其运行什么内容)被黑客入侵了,有人利用它向您的服务器上传并运行木马。如何具体是否遭到黑客攻击取决于网站本身,可能是错误、漏洞、密码过于简单……实际上可能是任何事情。AppPool 如何将文件写入其根目录之外的磁盘?
这取决于应用程序池运行的用户帐户以及文件系统权限。此外,即使用户帐户实际上没有权限将文件写入其所在位置,也可能涉及特权升级。我如何才能在未来预防它?
除了加强你的安全措施外,还要警惕你网站上的错误或漏洞;如果你正在运行别人创建的 Web 应用程序,一定要检查他们已知的漏洞并应用他们的更新也一样。