วิธีทำชันสูตรของเซิร์ฟเวอร์แฮ็ค
ฉันมีเครื่อง Windows Server 2003 SP2 ที่ติดตั้ง IIS6, SQL Server 2005, MySQL 5 และ PHP 4.3 อยู่ นี่ไม่ใช่เครื่องจักรที่ใช้ในการผลิต แต่มันถูกเปิดเผยไปทั่วโลกผ่านชื่อโดเมน เดสก์ท็อประยะไกลเปิดใช้งานบนเครื่องและมีบัญชีผู้ใช้สองบัญชีที่ใช้งานอยู่ เช้านี้ฉันพบว่าเครื่องนั้นถูกออกจากระบบด้วยชื่อผู้ใช้ uknown ที่ยังอยู่ในกล่องข้อความเข้าสู่ระบบ จากการตรวจสอบต่อไปฉันพบว่ามีผู้ใช้ windows สองตัวถูกสร้างขึ้นโปรแกรมป้องกันไวรัสได้ถูกถอนการติดตั้งและไฟล์. exe ที่ได้ถูกปล่อยลงในไดรฟ์ C: สิ่งที่ฉันอยากรู้คือฉันควรทำอย่างไรในขั้นตอนต่าง ๆ เพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้นอีกและฉันควรมุ่งเน้นไปที่การกำหนดเส้นทางการเข้า ฉันได้ตรวจสอบ netstat -a แล้วเพื่อดูว่าพอร์ตใดเปิดอยู่และไม่มีอะไรแปลก ๆ ที่นั่น ฉันพบไฟล์ที่ไม่รู้จักในโฟลเดอร์ข้อมูลสำหรับ MySQL ซึ่งฉันคิดว่าอาจเป็นจุดเริ่มต้น แต่ฉันไม่แน่ใจ ฉันขอขอบคุณขั้นตอนในการทำการแฮ็กเซิร์ฟเวอร์ที่ดีเพื่อให้ฉันสามารถหลีกเลี่ยงปัญหานี้ได้ในอนาคต โพสต์รีวิวการสืบสวน หลังจากการสอบสวนฉันคิดว่าฉันพบสิ่งที่เกิดขึ้น ครั้งแรกที่เครื่องไม่ได้รับการออนไลน์ในช่วงเวลาของเดือนสิงหาคม '08 ถึงตุลาคม '09 ในช่วงเวลานั้นกรอบช่องโหว่ความปลอดภัยที่ถูกค้นพบที่MS08-067 ช่องโหว่ …