ฉันมีเครื่อง Windows Server 2003 SP2 ที่ติดตั้ง IIS6, SQL Server 2005, MySQL 5 และ PHP 4.3 อยู่ นี่ไม่ใช่เครื่องจักรที่ใช้ในการผลิต แต่มันถูกเปิดเผยไปทั่วโลกผ่านชื่อโดเมน เดสก์ท็อประยะไกลเปิดใช้งานบนเครื่องและมีบัญชีผู้ใช้สองบัญชีที่ใช้งานอยู่
เช้านี้ฉันพบว่าเครื่องนั้นถูกออกจากระบบด้วยชื่อผู้ใช้ uknown ที่ยังอยู่ในกล่องข้อความเข้าสู่ระบบ จากการตรวจสอบต่อไปฉันพบว่ามีผู้ใช้ windows สองตัวถูกสร้างขึ้นโปรแกรมป้องกันไวรัสได้ถูกถอนการติดตั้งและไฟล์. exe ที่ได้ถูกปล่อยลงในไดรฟ์ C:
สิ่งที่ฉันอยากรู้คือฉันควรทำอย่างไรในขั้นตอนต่าง ๆ เพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้นอีกและฉันควรมุ่งเน้นไปที่การกำหนดเส้นทางการเข้า ฉันได้ตรวจสอบ netstat -a แล้วเพื่อดูว่าพอร์ตใดเปิดอยู่และไม่มีอะไรแปลก ๆ ที่นั่น ฉันพบไฟล์ที่ไม่รู้จักในโฟลเดอร์ข้อมูลสำหรับ MySQL ซึ่งฉันคิดว่าอาจเป็นจุดเริ่มต้น แต่ฉันไม่แน่ใจ
ฉันขอขอบคุณขั้นตอนในการทำการแฮ็กเซิร์ฟเวอร์ที่ดีเพื่อให้ฉันสามารถหลีกเลี่ยงปัญหานี้ได้ในอนาคต
โพสต์รีวิวการสืบสวน
หลังจากการสอบสวนฉันคิดว่าฉันพบสิ่งที่เกิดขึ้น ครั้งแรกที่เครื่องไม่ได้รับการออนไลน์ในช่วงเวลาของเดือนสิงหาคม '08 ถึงตุลาคม '09 ในช่วงเวลานั้นกรอบช่องโหว่ความปลอดภัยที่ถูกค้นพบที่MS08-067 ช่องโหว่ "นี่เป็นช่องโหว่การเรียกใช้รหัสจากระยะไกลผู้โจมตีที่ประสบความสำเร็จในการโจมตีช่องโหว่นี้สามารถควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้อย่างสมบูรณ์บนระบบที่ใช้ Microsoft Windows 2000, ที่ใช้ Windows XP และ Windows Server 2003 ผู้โจมตีสามารถโจมตีได้ ช่องโหว่นี้ผ่าน RPC โดยไม่ต้องมีการตรวจสอบสิทธิ์และสามารถเรียกใช้รหัสโดยอำเภอใจได้ " ช่องโหว่นี้ได้รับการแก้ไขด้วย KB958644 Security Update ซึ่งออกมาในเดือนตุลาคม 2551
เนื่องจากเครื่องออฟไลน์ในเวลานั้นและพลาดการอัพเดทนี้ฉันเชื่อว่าช่องโหว่นี้ถูกโจมตีในไม่ช้าหลังจากที่เครื่องกลับมาออนไลน์ในเดือนตุลาคมปี '09 ผมพบว่าการอ้างอิงไปยังโปรแกรม bycnboy.exe ซึ่งได้รับการอธิบายว่าโปรแกรมลับๆซึ่งจะสร้างความเสียหายมากในระบบที่ติดเชื้อ ไม่นานหลังจากที่เครื่องออนไลน์การอัพเดตอัตโนมัติจะติดตั้งโปรแกรมแก้ไขซึ่งปิดความสามารถในการควบคุมระบบจากระยะไกล เนื่องจากขณะนี้แบ็คดอร์ถูกปิดฉันเชื่อว่าผู้โจมตีสร้างบัญชีทางกายภาพบนเครื่องและสามารถใช้งานเครื่องได้อีกหนึ่งสัปดาห์จนกว่าฉันจะสังเกตเห็นว่าเกิดอะไรขึ้น
หลังจากกำจัดโค้ดที่เป็นอันตราย, .exes และ. dll อย่างจริงจังลบเว็บไซต์ที่โฮสต์ด้วยตนเองและบัญชีผู้ใช้เครื่องจะกลับมาทำงานอีกครั้งในสถานะใช้งาน ในอนาคตอันใกล้ฉันจะตรวจสอบระบบและตรวจสอบบันทึกเซิร์ฟเวอร์เพื่อพิจารณาว่ามีเหตุการณ์เกิดขึ้นซ้ำ ๆ หรือไม่
ขอบคุณสำหรับข้อมูลและขั้นตอนที่ให้ไว้