У мене встановлена машина Windows Server 2003 SP2 з IIS6, SQL Server 2005, MySQL 5 та PHP 4.3. Це не виробнича машина, але вона піддається впливу світу за допомогою доменного імені. На комп'ютері ввімкнено віддалений робочий стіл, на ньому активні два адміністративних акаунта.
Сьогодні вранці я виявив, що автомат вийшов із іменем невідомого користувача, який все ще знаходиться у текстовому полі для входу. Після подальшого розслідування я виявив, що було створено два користувачі Windows, антивірус було видалено, а на C: накопичувач було скинуто .exe-файли.
Що я хотів би знати, - які кроки слід зробити, щоб переконатися, що це не повториться, і на яких ділянках слід зосередитись, щоб визначити проспект в'їзду. Я вже перевірив netstat -a, щоб побачити, які порти відкриті, і нічого там не дивно. Я знайшов у папці даних для MySQL невідомі файли, які, на мою думку, могли бути точкою входу, але я не впевнений.
Я б дуже вдячний за кроки, щоб провести хороший посмертний злом сервера, щоб уникнути цього в майбутньому.
Огляд після розслідування
Після деякого розслідування, я думаю, я дізнався, що сталося. По-перше, машина не була в Інтернеті протягом періоду серпня '08 до жовтня '09. За цей час було виявлено вразливість безпеки, вразливість MS08-067 . "Це віддалене вразливість виконання коду. Зловмисник, який успішно користувався цією вразливістю, міг віддалено контролювати постраждалу систему. У системах Microsoft Windows 2000, на базі Windows XP та Windows Server 2003 зловмисник може використовувати ця вразливість через RPC без аутентифікації і може запустити довільний код. " Цю вулейкість було зафіксовано оновленням безпеки KB958644, яке вийшло у жовтні 2008 року.
Оскільки машина в той час була в автономному режимі і пропустила це оновлення, я вважаю, що ця вразливість була використана незабаром після повернення машини в Інтернет у жовтні 09 року. Я знайшов посилання на програму bycnboy.exe, яку описали як задню програму, яка потім створює сильний хаос для зараженої системи. Незабаром після того, як машина з'явилася в Інтернеті, автоматичні оновлення встановили патч, який вимикав можливість дистанційного керування системою. Оскільки задні двері були закриті, я вважаю, що зловмисник тоді створив фізичні рахунки на машині і зміг використовувати машину ще тиждень, поки я не помітив, що відбувається.
Після агресивного очищення шкідливого коду, .exes та .dlls, видалення веб-сайтів та облікових записів користувачів, що перебувають у власних хостингах, машина знову знаходиться в робочому стані. Найближчим часом я буду контролювати систему та перевіряти журнали сервера, щоб визначити, чи повторюється інцидент.
Дякуємо за надану інформацію та кроки.