热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

新弄的香港VPS被黑客入侵,特此记录

昨天:远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。于是写了简单的文章记录了下:虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。今天:又上去看了一下,突然看到这进程又占了1G虚拟内存。更一看

昨天: 远程时,发现VPS的某个进程异常: VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。 于是写了简单的文章记录了下: 虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。 今天: 又上去看了一下,突然看到这进程又占了1G虚拟内存。 更一看

昨天:

远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下:

虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。


今天:

又上去看了一下,服务器空间,突然看到这进程又占了1G虚拟内存。

更一看,发现存在数字型的进程名称,一看就知道服务器中扫了,挂了。

于是发现了:

1:任务管理器里的连接用户,多了一个陌生的user正在链接,我二话不说就断开该用户的链接,注销该账号的链接。

2:在计算机管理-本地用户组里,发现了4-5个被新建的账号,一一删除了。

3:进程里N个陌生进程,结束了,包括多个cmd.exe,多个ntsd.exe

进程文件: ntsd or ntsd.exe

进程名称: Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000(Microsoft Windows XP)系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用,用来强制结束杀毒软件进程。

4:查看系统服务,竟然有四五个进程,系统级别的,网站空间,还无法直接停止的那种:

5:查看了C盘,香港服务器,一堆牛B的工具存在,从修改日期看,好像中招几天了:

究竟黑客是从哪入侵的?

我查了事件日志,发现没有登陆连接日志。

于是我开始了以下猜测:

1:VPS不正常的那个进程有漏洞?

2:服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

3:网站?

4:数据库?

问题1:VPS的XenGuestAgent.exe进程 引发的?

人家提供商说:

几百台VPS在运行,要是VPS的虚拟进程有问题,那肯定是一堆受到入侵,不会是你单独一个。

说的很有理,好像这么一回事,但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

问题2: 服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

由于我vps操作系统运行时就把补丁更新给停了,于是我问vps提供商:

自带的操作系统,默认补丁都打上的吧。

对方回复:补丁打到上系统的那天,新的香港VPS上了半年,补丁也就是半年前。

我想:win2003都N年前的系统,老一辈的漏洞补丁早就补了,半年里应该没啥新漏洞,有估计也是难度很高的,一般真黑客怎么会弄这么个vps这么有难度。

问题3:网站?

网站数据库操作用的CYQ.Data,基本所有操作都有强过滤系统,SQL注入不存在。

倒是本人开了个后台sqlexe页面,不过页面也改过名字,虽然可以执行任意语句,不过页面名称只有自己知道,执行前也需要新的密码,我还特意执行了一条:

抛异常,看来默认sp4也做了相应功课:


4:数据库?

突然意识到什么,这个vps放了个临时站,数据库没弄什么权限,连sa的密码也是弱口令,到数据库一看,果然中招了:

好像这黑客给我留了这个账号提示,不然真要猜死人~~~~

大体得到了黑客入侵的入口:SA弱口令,从这里为突破口入侵了。

好了,特此记录,晚点该重装系统了。

推荐阅读
author-avatar
一米静心的阳光
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有