. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#1 旧 2019-09-02, 10:54:09 Icon5 【求助】阿里云Windows2008主机被植入恶意程序,请达人支招
Fireflying 当前离线  

一台阿里云的Windows2008主机,昨天开始手机频繁接到阿里云盾报警短信,有被扫描后自动封禁端口的信息,有异常登录信息,还有恶意程序信息。今天上服务器检查,发现有这么一堆文件。这是什么东西?是被当做肉鸡了吗?服务器的密码是比较复杂的,3389端口早就已经封锁,远程桌面用的另外的端口,我就没搞明白这货是咋进来的。有没有啥建议?
另外,发现系统里面有个不是我创建的管理员用户,我怎么查询这个用户的创建时间?
上传的图像
文件类型: png 服务器被入侵01.png (34.7 KB, 647 次查看)
文件类型: png 2019-09-02_110001.png (157.5 KB, 636 次查看)

此帖于 2019-09-02 11:30:03 被 Fireflying 编辑. .
回复时引用此帖
fqjp
 
fqjp 的头像
热心会员
 
资 料:
注册日期: Sep 2002
帖子: 10,570 声望值: 6
精华: 4,解答: 22
#2 旧 2019-09-02, 11:08:08 默认
fqjp 当前离线  

是不是网站的漏洞?


今天你尾了吗?
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#3 旧 2019-09-02, 11:26:36 默认
Fireflying 当前离线  

引用:
作者: fqjp 查看帖子
是不是网站的漏洞?
这服务器上确实用IIS开了一个静态页面网站,我对网站漏洞不是很熟悉。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#4 旧 2019-09-02, 12:32:41 默认
Fireflying 当前离线  

系统里面有两个Administrator用户是什么情况?
上传的图像
文件类型: png 两个Admin用户.png (11.5 KB, 611 次查看)
回复时引用此帖
zhengshb
 
zhengshb 的头像
支柱会员
 
资 料:
注册日期: Sep 2001
帖子: 6,648 声望值: 4
精华: 0,解答: 1
#5 旧 2019-09-02, 12:35:37 默认
zhengshb 当前离线  

肯定是别人建的,黑客有你家钥匙了。
还是换linux吧,windows不管怎么样都会中招。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#6 旧 2019-09-02, 12:50:23 默认
Fireflying 当前离线  

引用:
作者: zhengshb 查看帖子
肯定是别人建的,黑客有你家钥匙了。
还是换linux吧,windows不管怎么样都会中招。
系统类型不是说换就换的。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#7 旧 2019-09-02, 12:57:24 默认
Fireflying 当前离线  

目前做了如下工作:
1、检查了所有可疑进程和相关路径相关文件,把异常的进程终止,把异常文件删除。
2、检查系统启动项和服务,删除异常启动项和对应的文件;未发现异常服务项。
3、修改安全组,根据云盾提供的异常登录信息,将远程桌面端口(早就换过远程桌面端口)设置拦截异常登录那个段的IP,以后那个IP段将无法连接远程桌面端口。
4、确认无误之后,删除系统中多出来的两个管理员账号。
5、修改Administrator用户密码。
能想到的暂时就这些,先观察一下吧。
回复时引用此帖
孤魂
 
孤魂 的头像
终极会员
 
资 料:
注册日期: Oct 2001
帖子: 8,327 声望值: 7
精华: 3,解答: 19
#8 旧 2019-09-02, 13:06:27 默认
孤魂 当前离线  

引用:
作者: zhengshb 查看帖子
肯定是别人建的,黑客有你家钥匙了。
还是换linux吧,windows不管怎么样都会中招。
什么“不管怎么样”,明显的偏见,Linux 也不是百分百安全。
就 Windows Server 而言,2008 的漏洞太多了,多到都没有补丁。升级到 2016 会相对好些。


我是孤獨的靈魂, 遊蕩在漆黑的夜.
回复时引用此帖
avav
 
avav 的头像
超级会员
 
资 料:
注册日期: Oct 2001
帖子: 1,295 声望值: 3
精华: 0,解答: 3
#9 旧 2019-09-03, 14:26:55 默认
avav 当前离线  

powertool能支持win10吗,能不能给个下载。作者网站已经下载不了了


So long...
回复时引用此帖
闪亮
 
闪亮 的头像
终极会员
 
资 料:
注册日期: Aug 2001
帖子: 10,174 声望值: 7
精华: 2,解答: 16
#10 旧 2019-09-03, 14:48:25 默认
闪亮 当前离线  

改端口号只是减少扫描,远程桌面的端口不要开放。
另外起个服务器打洞。


宝贝宝贝笑一笑 笑容其实很美妙
只要天天没烦恼 其他一切不重要
回复时引用此帖
minuteman
 
minuteman 的头像
终极会员
 
资 料:
注册日期: Oct 2001
帖子: 18,705 声望值: 3
精华: 1,解答: 26
#11 旧 2019-09-03, 15:18:09 默认
minuteman 当前离线  

引用:
作者: Fireflying 查看帖子
目前做了如下工作:1、检查了所有可疑进程和相关路径相关文件,把异常的进程终止,把异常文件删除。2、检查系统启动项和服务,删除异常启动项和对应的文件;未发现异常服务项。3、修改安全组,根据云盾提供的异常登录信息,将远程桌面端口(早就换过远程桌面端口)设置拦截异常登录那个段的IP,以后那个IP段将无法连接远程桌面端口。4、......
还是要分析一下怎么进来的,否则很可能家里打扫完了门还是开着。

网站确实只是静态的?IIS的权限设置对不对,别会是允许put了吧?是不是对外静态内部其实有个CMS存在漏洞?

还是要看一下那些恶意文件的创建日期,然后看那个日期前后的web日志以及系统日志,比对异常IP,估计应该能找到一些端倪的


个人觉得windows本身的安全手段已经足够了,应用的代码安全才是关键点
回复时引用此帖
judite
 
judite 的头像
热心会员
 
资 料:
注册日期: Jan 2001
帖子: 2,438 声望值: 8
精华: 2,解答: 29
#12 旧 2019-09-03, 15:25:15 默认
judite 当前离线  

像我自己的服务器吧,开的任何端口都用防火墙设定只允许自己的ip段访问
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#13 旧 2019-09-03, 16:32:53 默认
Fireflying 当前离线  

引用:
作者: avav 查看帖子
powertool能支持win10吗,能不能给个下载。作者网站已经下载不了了
我之前一直是用PCHunter的,6月份突然发现PCHunter在Win2008、Win7、Win10上面点击启动管理就直接蓝屏重启,不知道啥原因,怀疑是不是跟微软更新的某补丁包有关系,并且作者也没更新:
https://bbs.et8.net/bbs/showthread.php?t=1372009
没法子才换PowerTool,在Win10下可用。
用7z分卷压缩的,扩展名本论坛不认,下载后把两个文件分别重命名成:
PowerTool2.0_X86&X64.zip.001
PowerTool2.0_X86&X64.zip.002
上传的附件
文件类型: zip PowerTool2.0_X86&X64-001.zip (3.00 MB, 23 次查看)
文件类型: zip PowerTool2.0_X86&X64-002.zip (1.81 MB, 24 次查看)
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#14 旧 2019-09-03, 16:40:22 默认
Fireflying 当前离线  

引用:
作者: minuteman 查看帖子
还是要分析一下怎么进来的,否则很可能家里打扫完了门还是开着。网站确实只是静态的?IIS的权限设置对不对,别会是允许put了吧?是不是对外静态内部其实有个CMS存在漏洞?还是要看一下那些恶意文件的创建日期,然后看那个日期前后的web日志以及系统日志,比对异常IP,估计应该能找到一些端倪的个人觉得windows本身的安全手......
谢谢建议,IIS我不太熟,回头我慢慢检查一下。文件日期看过了,日志太多,粗略看了一下,还没来得及仔细分析。因为这服务器还有开发人员登录,不清楚会不会是开发人员上传啥东西带进了木马。其中有一个挖矿的木马很顽固,伪装成Intel驱动程序和Nvidia驱动程序,并且其中一个加载成服务守护另外一个,干掉一个重启又冒出来,后来检查数字签名和文件生成时间发现猫腻,终于删掉了。
目前从云盾监测表现,以及网络流量分析、进程检查等方面,没有发现异常。继续观察一阵子再说。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 9,628 声望值: 3
精华: 3,解答: 10
#15 旧 2019-09-03, 16:47:04 默认
Fireflying 当前离线  

引用:
作者: 闪亮 查看帖子
改端口号只是减少扫描,远程桌面的端口不要开放。
另外起个服务器打洞。
主要是现在免费版本的远程工具都不好用,TV动不动就检测到商业版的给限时5分钟断掉,AnyDesk免费版的限速300k卡成翔,向日葵免费版的也限速。用来用去还是远程桌面最流畅。
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 05:01:55.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号