今天早上我发现该机器已经以登录文本框中的未知用户名注销.经过进一步调查,我发现已经创建了两个Windows用户,已经卸载了防病毒软件,并且已经将少量.exe文件放入C:驱动器中.
我想知道的是,我应该采取什么措施来确保不再发生这种情况,我应该集中精力确定进入的途径.我已经检查了netstat -a以查看哪些端口是打开的,并且没有什么看起来很奇怪.我确实在MysqL的数据文件夹中找到了未知文件,我认为这可能是切入点,但我不确定.
我非常感谢对服务器黑客进行良好验尸的步骤,以便将来可以避免这种情况.
调查后审查
经过一番调查后,我想我发现了发生的事情.首先,机器在08年8月到2009年10月期间没有上线.在此期间发现了一个安全漏洞,MS08-067 Vulnerability.“这是一个远程执行代码漏洞.成功利用此漏洞的攻击者可以远程完全控制受影响的系统.基于Microsoft Windows 2000,基于Windows XP以及基于Windows Server 2003的系统,攻击者可以通过RPC利用此漏洞而无需身份验证,并且可以运行任意代码.“使用KB958644安全更新修复了这种可用性,该更新于2008年10月发布.
由于该机器当时处于脱机状态并错过了此次更新,我相信这台漏洞在2009年10月机器重新上线后很快就被利用了.我发现了对bycnboy.exe程序的引用,该程序已经被described as a backdoor program在受感染的系统上造成了很大的破坏.机器上线后不久,自动更新安装了补丁,关闭了远程控制系统的能力.由于后门现已关闭,我相信攻击者随后在机器上创建了物理帐户,并且能够再利用机器一周,直到我发现发生了什么.
在积极追求恶意代码,.exes和.dll,删除自托管网站和用户帐户后,该机器现在再次处于工作状态.在不久的将来,我将监视系统并查看服务器日志,以确定是否发生了重复事件.
感谢您提供的信息和步骤.
>物理断开机器与网络的连接. (真的.现在就做.)
>可选步骤:制作硬盘驱动器的二进制映像副本以备将来使用.
>将所有日志文件,有价值数据等的副本复制到可移动硬盘驱动器上
>可选择复制您找到的任何“黑客工具”
>开始实际的验尸.在你的情况下:
>记下任何新的或缺少的用户帐户.看看他们的主文件夹是否有任何“有趣”的内容.
>记下任何新的或缺少的程序/二进制文件/数据文件.
>首先检查MysqL日志 – 查找任何“异常”的内容
>检查其余的服务器日志.查看您是否可以找到正在创建的新用户,他们登录的地址等.
>寻找数据损坏或被盗的证据
>当您找到问题的原因时,请注意如何防止问题再次发生.
>擦除服务器清洁:格式化并重新安装所有内容,恢复数据和放大用#5中的笔记插入原始孔.
如果您要参与执法,通常会执行第2步.执行步骤3,以便在重建服务器后查看信息,而无需阅读在步骤2中创建的映像副本.
第4步的详细程度取决于你的目标:只是插入漏洞是一种不同的调查,而不是追踪谁窃取了一些有价值的数据:)
第6步是恕我直言.您没有“修复”受感染的主机:您擦除它并从已知良好状态重新开始.这可以确保你不会错过一些令人讨厌的盒子作为定时炸弹.
这绝不是一个完整的验尸大纲.我将此标记为社区维基,因为我一直在寻找对流程的改进 – 我不经常使用它:-)
