昨天: 远程时,发现VPS的某个进程异常: VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。 于是写了简单的文章记录了下: 虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。 今天: 又上去看了一下,突然看到这进程又占了1G虚拟内存。 更一看
昨天:
远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。
于是写了简单的文章记录了下:
虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。
今天:
又上去看了一下,服务器空间,突然看到这进程又占了1G虚拟内存。
更一看,发现存在数字型的进程名称,一看就知道服务器中扫了,挂了。
于是发现了:
1:任务管理器里的连接用户,多了一个陌生的user正在链接,我二话不说就断开该用户的链接,注销该账号的链接。
2:在计算机管理-本地用户组里,发现了4-5个被新建的账号,一一删除了。
3:进程里N个陌生进程,结束了,包括多个cmd.exe,多个ntsd.exe。
进程文件: ntsd or ntsd.exe
进程名称: Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000(Microsoft Windows XP)系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用,用来强制结束杀毒软件进程。
4:查看系统服务,竟然有四五个进程,系统级别的,网站空间,还无法直接停止的那种:
5:查看了C盘,香港服务器,一堆牛B的工具存在,从修改日期看,好像中招几天了:
究竟黑客是从哪入侵的?
我查了事件日志,发现没有登陆连接日志。
于是我开始了以下猜测:
1:VPS不正常的那个进程有漏洞?
2:服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)
3:网站?
4:数据库?
问题1:VPS的XenGuestAgent.exe进程 引发的?
人家提供商说:
几百台VPS在运行,要是VPS的虚拟进程有问题,那肯定是一堆受到入侵,不会是你单独一个。
说的很有理,好像这么一回事,但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。
问题2: 服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)
由于我vps操作系统运行时就把补丁更新给停了,于是我问vps提供商:
自带的操作系统,默认补丁都打上的吧。
对方回复:补丁打到上系统的那天,新的香港VPS上了半年,补丁也就是半年前。
我想:win2003都N年前的系统,老一辈的漏洞补丁早就补了,半年里应该没啥新漏洞,有估计也是难度很高的,一般真黑客怎么会弄这么个vps这么有难度。
问题3:网站?
网站数据库操作用的CYQ.Data,基本所有操作都有强过滤系统,SQL注入不存在。
倒是本人开了个后台sqlexe页面,不过页面也改过名字,虽然可以执行任意语句,不过页面名称只有自己知道,执行前也需要新的密码,我还特意执行了一条:
抛异常,看来默认sp4也做了相应功课:
4:数据库?
突然意识到什么,这个vps放了个临时站,数据库没弄什么权限,连sa的密码也是弱口令,到数据库一看,果然中招了:
好像这黑客给我留了这个账号提示,不然真要猜死人~~~~
大体得到了黑客入侵的入口:SA弱口令,从这里为突破口入侵了。
好了,特此记录,晚点该重装系统了。