मेरे पास IIS6, SQL Server 2005, MySQL 5 और PHP 4.3 के साथ एक Windows Server 2003 SP2 मशीन है। यह एक उत्पादन मशीन नहीं है, लेकिन यह एक डोमेन नाम के माध्यम से दुनिया के संपर्क में है। रिमोट डेस्कटॉप मशीन पर सक्षम है और दो व्यवस्थापक खाते इस पर सक्रिय हैं।
आज सुबह मैंने पाया कि लॉगिन टेक्स्ट बॉक्स में अभी भी एक uknown उपयोगकर्ता के नाम के साथ मशीन को लॉग ऑफ किया गया था। आगे की जांच में मैंने पाया है कि दो विंडोज़ उपयोगकर्ता बनाए गए हैं, एंटी-वायरस को अनइंस्टॉल कर दिया गया है और। Exe फ़ाइलों की एक smattering को C: ड्राइव में गिरा दिया गया है।
मैं यह जानना चाहता हूं कि मुझे यह सुनिश्चित करने के लिए क्या कदम उठाने चाहिए कि यह फिर से न हो और मुझे प्रवेश के अवसर का निर्धारण करने के लिए किन क्षेत्रों पर ध्यान केंद्रित करना चाहिए। मैंने पहले ही netstat -a की जाँच कर ली है कि कौन से पोर्ट खुले हैं, और वहाँ कुछ भी अजीब नहीं है। मुझे MySQL के लिए डेटा फ़ोल्डर में अज्ञात फाइलें मिलीं जो मैं सोच रहा हूं कि प्रवेश बिंदु हो सकता है लेकिन मुझे यकीन नहीं है।
मैं वास्तव में एक सर्वर हैक का एक अच्छा पोस्टमार्टम करने के लिए कदमों की सराहना करता हूं ताकि भविष्य में मैं इससे बच सकूं।
पोस्ट इन्वेस्टिगेशन रिव्यू
कुछ जांच के बाद मुझे लगता है कि मुझे पता चला कि क्या हुआ। पहली मशीन अगस्त '08 से अक्टूबर '09 के समय सीमा के दौरान ऑनलाइन नहीं हुई है। उस समय सीमा के दौरान एक सुरक्षा भेद्यता का पता चला था, MS08-067 भेद्यता । "यह एक दूरस्थ कोड निष्पादन भेद्यता है। एक हमलावर जिसने सफलतापूर्वक इस भेद्यता का शोषण किया था, वह दूर से एक प्रभावित का पूरा नियंत्रण ले सकता है। Microsoft Windows 2000-आधारित, Windows XP- आधारित और Windows Server 2003-आधारित सिस्टम पर, एक हमलावर शोषण कर सकता है। प्रमाणीकरण के बिना RPC पर यह भेद्यता और मनमाना कोड चला सकती है। " अक्टूबर 2008 में KB958644 सिक्योरिटी अपडेट के साथ यह वल्नरेबिलिटी तय की गई थी।
क्योंकि मशीन उस समय ऑफ़लाइन थी और इस अपडेट से चूक गई, मेरा मानना है कि '09 के अक्टूबर में मशीन के ऑनलाइन वापस आने के तुरंत बाद इस भेद्यता का फायदा उठाया गया। मुझे एक bycnboy.exe प्रोग्राम के संदर्भ मिले जो कि पिछले दरवाजे प्रोग्राम के रूप में वर्णित किया गया है जो तब एक संक्रमित प्रणाली पर बहुत कहर पैदा करता है। मशीन ऑनलाइन होने के तुरंत बाद, स्वचालित अपडेट ने पैच स्थापित किया जो सिस्टम के रिमोट कंट्रोल की क्षमता को बंद कर देता है। क्योंकि पिछले दरवाजे को अब बंद कर दिया गया था, मेरा मानना है कि फिर हमलावर ने मशीन पर भौतिक खाते बनाए और मशीन का उपयोग एक और सप्ताह तक करने में सक्षम था जब तक कि मैंने देखा कि क्या हो रहा था।
आक्रामक रूप से दुर्भावनापूर्ण कोड, .exes और .dll को शुद्ध करने के बाद, स्वयं होस्टिंग वेबसाइटों और उपयोगकर्ता खातों को हटाकर, मशीन अब फिर से काम कर रही है। निकट भविष्य के लिए मैं सिस्टम की निगरानी करूंगा और यह निर्धारित करने के लिए सर्वर लॉग की समीक्षा करूंगा कि क्या घटना की पुनरावृत्ति हो रही है।
उपलब्ध कराई गई जानकारी और चरणों के लिए धन्यवाद।