9,505
社区成员
发帖
与我相关
我的任务
分享网站被攻击了啊,各位大大救救我啊
2008年1月14日,星期一中午13:30,我们的网络管理员正在线上(用远程桌面连接到213服务器),发现上面另外有一个用户上来了,发现这不是我们自己的用户。我们意识到有黑客攻进了我们的系统,于是马上把它踢了下去,用管理工具的用户管理直接把他的用户给删除掉了,同时检查日志发现他是要开启我们的IIS服务,架设一个ARP攻击服务器,而这个ARP服务直接指向了机房另外一台服务器143,我们随即备份了相关的情况,并删除了他的IIS服务以及遗留的文件。修改了管理员密码,接着用安全卫士360检查系统发现没有异常。当晚我们一直值班到11:30分,没有发现他的再次入侵。
到2008年1月15日,星期二早上9:00上班,检查日志发现00:30以前日志被删除了,我们意识到在黑客又一次入侵了我们的系统,检查发现黑客在系统上安装一个软件叫《QQ第六感2.0》,于是删除之,检查用户发现guest用户被克隆成了管理员帐号(以前管理员帐号是有32位MD5密码并被禁用的),于是我们用另一个不再任何组的废弃账户SQL Debuger(以前的账户,不再任何组,禁用、有密码)克隆掉了guest账户。同时通过安全卫士360发现了他的遗留痕迹,发现他上过一下网站:(http://jjzjs.ys168.com和http://jjzjs.ys168.com),清理之,同时用IE清理了缓存文件。接着,修改了管理员密码。
到2008年1月15日,星期二早上11:00远程系统再次发生意外错误,自动重启就好了,可是我们怎么检查都没有在发现异常。无法之下,我们求助了服务器托管商,中午刚到托管商那边(15:30),发现系统再次意外错误重启,而重启后我们怎么都上不了,经机房检查发现管理员密码被改掉了,于是请机房帮我们破掉了管理员密码,并修改了远程桌面的端口,再次仔细查杀木马发现在scrss.exe中注入了ARP木马,清理之。同时机房联系了143的服务器(UNIX服务器)所有者公司,发现143系统已经被攻击,root密码被改,机房帮忙重装之。再检查我们的机器没什么问题,于是晚上值班到24:00,没有发现异常。
到2008年1月16日,星期三上班,发现基本正常没有异常现象,同时发现日志较长,于是在下班时清除了日志。一直值班到17日(周四)早上04:30,隔5分钟刷新一次日志,发现系统在17日00:00左右发生了意外错误一次,自动热重启就好了,没有发生任何入侵的数据流与异常记录。到17日03:00发现已经没什么人访问了,于是重启了服务器,再次全面检查,没有异常,启动杀毒软件做了一次全盘扫描。
到2008年1月17日,星期四早上11:35开始,系统开始接连两次出现蓝屏异常,检查系统发现系统是意外重启,联系机房,机房的办法是取消系统的发生错误自动重启选项,一直到目前。
各位高手帮忙分析一下,怎么才能不重启啊?
到2008年1月15日,星期二早上9:00上班,检查日志发现00:30以前日志被删除了,我们意识到在黑客又一次入侵了我们的系统,检查发现黑客在系统上安装一个软件叫《QQ第六感2.0》,于是删除之,检查用户发现guest用户被克隆成了管理员帐号(以前管理员帐号是有32位MD5密码并被禁用的),于是我们用另一个不再任何组的废弃账户SQL Debuger(以前的账户,不再任何组,禁用、有密码)克隆掉了guest账户。同时通过安全卫士360发现了他的遗留痕迹,发现他上过一下网站:(http://jjzjs.ys168.com和http://jjzjs.ys168.com),清理之,同时用IE清理了缓存文件。接着,修改了管理员密码。
到2008年1月15日,星期二早上11:00远程系统再次发生意外错误,自动重启就好了,可是我们怎么检查都没有在发现异常。无法之下,我们求助了服务器托管商,中午刚到托管商那边(15:30),发现系统再次意外错误重启,而重启后我们怎么都上不了,经机房检查发现管理员密码被改掉了,于是请机房帮我们破掉了管理员密码,并修改了远程桌面的端口,再次仔细查杀木马发现在scrss.exe中注入了ARP木马,清理之。同时机房联系了143的服务器(UNIX服务器)所有者公司,发现143系统已经被攻击,root密码被改,机房帮忙重装之。再检查我们的机器没什么问题,于是晚上值班到24:00,没有发现异常。
到2008年1月16日,星期三上班,发现基本正常没有异常现象,同时发现日志较长,于是在下班时清除了日志。一直值班到17日(周四)早上04:30,隔5分钟刷新一次日志,发现系统在17日00:00左右发生了意外错误一次,自动热重启就好了,没有发生任何入侵的数据流与异常记录。到17日03:00发现已经没什么人访问了,于是重启了服务器,再次全面检查,没有异常,启动杀毒软件做了一次全盘扫描。
到2008年1月17日,星期四早上11:35开始,系统开始接连两次出现蓝屏异常,检查系统发现系统是意外重启,联系机房,机房的办法是取消系统的发生错误自动重启选项,一直到目前。
各位高手帮忙分析一下,怎么才能不重启啊?
...全文
请发表友善的回复…
发表回复
用户昵称不能为空 2011-01-29
- 打赏
- 举报
Cryptographic Services 服务成功发送一个 开始 控件。
请问一下这个是什么,为什么电脑进入windows画面后无法进入windows的时候电脑的错误事件里面有这一条记录。
请问一下这个是什么,为什么电脑进入windows画面后无法进入windows的时候电脑的错误事件里面有这一条记录。
lijingxi 2008-04-29
- 打赏
- 举报
其实楼主最主要的问题并没有解决,
主要问题是HACKER 通过什么途径入侵你计算机的.
找到这个途径 封死 这样以后服务器才会安全.
主要问题是HACKER 通过什么途径入侵你计算机的.
找到这个途径 封死 这样以后服务器才会安全.
xiaoban04 2008-04-29
- 打赏
- 举报
管理服务器是比较辛苦,但是好在楼主问题解决了,我为大家以后维护提供了经验.希望大家多相互交流经验.
古井荡月 2008-04-28
- 打赏
- 举报
建议楼主用杀软McAfee,用了,设置好了,再说它好不好。。。
gbfxixi 2008-04-26
- 打赏
- 举报
[Quote=引用 22 楼 skycan 的回复:]
感谢分享!
[/Quote]+经历```
呵呵,LZ还真逗,就一个360来担任服务器的安全防范责任。。。
感谢分享!
[/Quote]+经历```
呵呵,LZ还真逗,就一个360来担任服务器的安全防范责任。。。
jhonlonehou 2008-04-16
- 打赏
- 举报
o(∩_∩)o...
jewzj 2008-04-15
- 打赏
- 举报
楼主,赶快杀毒啊.
海内存知己,天涯若比邻。我给大家推荐一下专业的安全技术交流论坛--警E卫安全技术论坛,欢迎大家常来坐坐,探讨和学习数据安全、日志安全、病毒安全、网络安全、操作系统安全、硬件安全等方面的安全技术。论坛如下所未:
www.japee.com.cn/jew/pages/Main.aspx
海内存知己,天涯若比邻。我给大家推荐一下专业的安全技术交流论坛--警E卫安全技术论坛,欢迎大家常来坐坐,探讨和学习数据安全、日志安全、病毒安全、网络安全、操作系统安全、硬件安全等方面的安全技术。论坛如下所未:
www.japee.com.cn/jew/pages/Main.aspx
skycan 2008-04-15
- 打赏
- 举报
感谢分享!
ITSlave 2008-04-14
- 打赏
- 举报
哥们这管服务器的,可不能就靠一个360啊。这也太容易攻破了。。。。。。
bideangel 2008-03-26
- 打赏
- 举报
不太懂,我页来定定~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~呵呵,好像错别字太多啊
fz04003 2008-03-26
- 打赏
- 举报
谢谢各位网友的关心!!!
fz04003 2008-03-26
- 打赏
- 举报
随后的几天基本上两天左右系统就莫名其妙的重启一次,而问题的错误代码还每次都不一样。搞得我极度郁闷啊。直到第四次重启后无意间在自己的机子上乱翻时发现了WinDebug这个以前做Windows程序的玩具,想起他还有调试dump的功能,抱着死马当活马医的目的上传、装载、竟然发现ntfs.sys文件出错。正在奇怪时,系统又自己重启了,再次装载,竟让还是ntfs.sys出错。从另一台服务器上copy一个过来,一看才发现这个文件竟然还是系统没有打sp2补丁之前的大小。奇怪啊!没话说了,重大sp2补丁吧。
神奇的是再次打了这个sp2补丁后系统竟然好了,彻底的好了啊!上帝啊!佛祖啊!三清啊!感谢网友、感谢公司同事、感谢cctv、感谢所有tv...这次是真的好了。到目前发帖时为止,系统已经没有出过任何问题了。
神奇的是再次打了这个sp2补丁后系统竟然好了,彻底的好了啊!上帝啊!佛祖啊!三清啊!感谢网友、感谢公司同事、感谢cctv、感谢所有tv...这次是真的好了。到目前发帖时为止,系统已经没有出过任何问题了。
fz04003 2008-03-26
- 打赏
- 举报
解决经过时这样的:
事件发生后的第三天晚上,我通宵在线值班(本人技术差啊,只有被动防守,所以事情发生后一直坚持了一个礼拜)时突然发现远程桌面上竟然突然出现了另外一个人,当时我那个兴奋啊!
马上把他踢下去,接着修改远程用户密码,检查也没有克隆帐户出现。随后检查日志发现在里面执行过一个net1.exe的文件,于是用冰刃全硬盘搜索,竟然发现东东在WEB运行的上传目录,同时发现WEB上传目录竟然还有一个jspshell.jsp的文件建立时间就是第一次出问题的时间!汗啊,瀑布汗啊!在windows搜索中按时间(从第一次开始的全部)搜索,对所有新建、修改的文件进行逐个检查,随后又在windows目录下发现net1.exe的一个副本,删除之,同时随时监控上传目录的变动情况。
第四天上班时间到,公司其他同事都到了,立马报告总经理,约见开发部经理(对j2ee中的安全问题公司有非常严格与细致的规定)。开发部经理随后召见所有技术部设计、开发、维护、更新相关人员检查所有上传代码。30分钟后问题被发现,原来是公司WEB论坛的附件上传代码被修改,以前是白名单机制(只有jpg、gif、mp3等几种类型才能上传),现在的代码竟然成了黑名单了,除了exe、bat、com意外任何文件都可以上传。那个晕啊!随后开文件版本库查看修改日志与更新日志,直接找到修改代码的程序员。一问才知道一个礼拜的一次例会上运营部门人员提了一个要求,要求附件也是可以传png等几个格式的,如此简单的问题,开发部经理也就随手指定了一个人来处理,这个人接到任务就目光极为远大的想到以后要是再新增一个类型,不是又要改一次,多麻烦啊,于是就把白名单改成了黑名单。(可怜的是竟然没有排除jsp啊,以前公司就从没有受到过jsp木马的攻击。)到这里以后两天内没有发生过任何问题,我也以为问题解决了,可随后才知道我高兴的太早了。
事件发生后的第三天晚上,我通宵在线值班(本人技术差啊,只有被动防守,所以事情发生后一直坚持了一个礼拜)时突然发现远程桌面上竟然突然出现了另外一个人,当时我那个兴奋啊!
马上把他踢下去,接着修改远程用户密码,检查也没有克隆帐户出现。随后检查日志发现在里面执行过一个net1.exe的文件,于是用冰刃全硬盘搜索,竟然发现东东在WEB运行的上传目录,同时发现WEB上传目录竟然还有一个jspshell.jsp的文件建立时间就是第一次出问题的时间!汗啊,瀑布汗啊!在windows搜索中按时间(从第一次开始的全部)搜索,对所有新建、修改的文件进行逐个检查,随后又在windows目录下发现net1.exe的一个副本,删除之,同时随时监控上传目录的变动情况。
第四天上班时间到,公司其他同事都到了,立马报告总经理,约见开发部经理(对j2ee中的安全问题公司有非常严格与细致的规定)。开发部经理随后召见所有技术部设计、开发、维护、更新相关人员检查所有上传代码。30分钟后问题被发现,原来是公司WEB论坛的附件上传代码被修改,以前是白名单机制(只有jpg、gif、mp3等几种类型才能上传),现在的代码竟然成了黑名单了,除了exe、bat、com意外任何文件都可以上传。那个晕啊!随后开文件版本库查看修改日志与更新日志,直接找到修改代码的程序员。一问才知道一个礼拜的一次例会上运营部门人员提了一个要求,要求附件也是可以传png等几个格式的,如此简单的问题,开发部经理也就随手指定了一个人来处理,这个人接到任务就目光极为远大的想到以后要是再新增一个类型,不是又要改一次,多麻烦啊,于是就把白名单改成了黑名单。(可怜的是竟然没有排除jsp啊,以前公司就从没有受到过jsp木马的攻击。)到这里以后两天内没有发生过任何问题,我也以为问题解决了,可随后才知道我高兴的太早了。
fz04003 2008-03-26
- 打赏
- 举报
谢谢各位高手的关注啊,这个问题终于解决了!
Alices 2008-02-26
- 打赏
- 举报
本人觉得可以是Shift后门,检查一下%systemroot%\sethc.exe是不是被换了
cheemylee 2008-02-22
- 打赏
- 举报
不知道你用了防火墙了没,还有就是运用软件或者手动修改甚至关闭自己的服务器的端口,让远程用户无法直接联通你的服务器.
webclass 2008-02-13
- 打赏
- 举报
我也遇到同样问题,高手请进,帮忙解决!
zhm8818 2008-02-13
- 打赏
- 举报
人家这个骇客2种系统都玩的转,你怎么和人家玩?这种人黑了你的系统,你就重装吧,就算你救活了,你也得落个半身不遂,残废!就像你自己说的,不知道什么时候莫名其妙的重起,也不知道什么时候死机和蓝屏之类的。给你装个rootkit你就乖乖的吧。看你的描述,好象他还没给你使用那玩意。不知道unix下用了没有(你只说重装了)。把你的补丁打齐全,配置弄好点。到网上搜索一下。看看有什么能帮你的。具体的我也只能给你这点建议了。结合6楼和8楼的建议,自己做好安全检测吧。
七胖儿 2008-02-13
- 打赏
- 举报
太复杂了,看了半天也没看明白啊
bideangel 2008-02-01
- 打赏
- 举报
呵呵,不懂,帮顶,我也想知道
加载更多回复(8)
