我的WEB服务器被黑了,惨不忍睹!!!各位分析一下!
之前曾出现网站被植入ASP木马,在所有index.asp,index.html默认首页名下加了iframe代码指向病毒链接,被我都改回来了,曾出现过二到三次,直到今早一上班,发现网站不能访问了,一进服务器一看,不得了,被人光顾了,此人做了如下操作:
1、新建了两个用户,一个是glodsun,一个是syms$(无法删除,可改名),均属管理员组;
2、改了WIN2003自带的及瑞星防火墙,具体是允许应用程序访问,是它植入的软件;
3、在program files\commom files\目录下建立了一个fwq文件夹,里面有它植入的lansee、足迹清除工具、以及一些木马软件;
4、用lansee扫描了IP段;
5、在防火墙有记录允许cain.exe口令破解软件执行;
6、停止了IIS服务,走后并没有开启;
7、清除了IIS日志记录信息;
8、但没有删除或更改网站首页等,只是在其中一个目录中植入了一个不正常的ASP文件,估计是ASP木马;
之前我曾用过ASPSecurity代码分析过这个网站,发现有很多文件是有问题的,说有些ASP文件似乎被加密,ASP文件加密认为是不正常的,对了,这个网站是我这的前任网管自己写的,之前包括现在我一直怀疑有没有可能是他干的?那些加密的ASP文件是否就是自己当时写时留下的后门?如果是别人入侵的话,据我的想法是他不可能停止IIS服务这么明显的动作,反而会让你不知道它来过,所以停止IIS不是明摆着告诉你吗?再有网站主目录并没有被破坏,说明它还是有一定良心的,再有我觉得能进来做这些事情的话,肯定是很顺利的正常进来的,我个人觉得除了通过ASP代码后门之外是不可能进来的,因我的服务器已做得很安全的了,两层防火墙,只开80端口,密码超级复杂,38位组合,根本不可能破解。
各位,根据上述情况帮我分析一下这人入侵的途径,我好对证下药,做好针对性的安防,再有有没有可能是前任进来干的?非常感谢!
------解决方案--------------------不一定啊,不知道你的服务器的补丁怎么样,也可能是服务器自身的安全,还是用FREEBSD吧。另外,程序是他自己写的,保不准就有漏洞产生,当然也可能是像你说的那样,前任干的。最好是你把代码交给安全圈的可靠的人帮你看看,还有一点就是你有点太轻率了,一般入侵完了后最后要做的就是清除日志,很多人都是清除完日志之后就退出系统了,所以你当你发现服务器被入侵了以后,第一步并不是去尝试修改什么,或者添加什么,你要做的是千万不要往里写任何数据,然后做一下简单的数据恢复,一般对于比较菜的黑客来说这招很管用的,被删除的日志也可以被恢复出来,有了日志,那还怕什么啊!当然也不排除他用特殊的软件或者特殊的方法删除导致恢复不出来。而且还要看站点的重要性,权衡利弊,你自己考虑吧!不行的话,如果有条件你做个“蜜灌”吧。嘿嘿…… 阴死他……
------解决方案--------------------建议IIS安全权限只是只读,帮顶算了!
------解决方案--------------------蜜罐故名思义就是故意让人攻击的目标,引诱黑客前来攻击。一方面保护了真正主机的安全,另一方面也方便知道他是如何得逞的。