Chinaunix

标题: 怎么老是被黑 ~ 第三次被黑，第三次重装！找不到原因！ [打印本页]

作者: mxiaohua1768 时间: 2011-09-22 20:08
标题: 怎么老是被黑 ~ 第三次被黑，第三次重装！找不到原因！
本帖最后由 mxiaohua1768 于 2011-09-29 12:13 编辑

最近在干windows网站维护的，开始服务器被黑了，又重装了系统，(全部格式化了)，然后打补丁，装杀毒软件，杀毒啊杀，妈的不到两天又挂了，服务我也尽量少开了，杀毒软件防火墙等全给它开了，还是扛不住啊，杀毒软件成浮云了！天天被客户催，接电话都快疯了！shit.......... 总是不停的重装，我靠，这样下去我要疯了~
管理员被改成administrato.r，我用PE去破密码后，还纳闷怎么改了密码还不能登录，一看用户名我就疯了，还搞这一套。administrato.r 还带一个点，靠啊！

谁有安全方面的经验，指教一下俺！天天重装，都没时间来CU逛了！

作者: chenyx 时间: 2011-09-22 20:14
检查网站的日志,看看他是怎么入侵的.重装只能治标不治本.

作者: mxiaohua1768 时间: 2011-09-22 20:18
回复 2# chenyx

把日志给清空了，太狠了

作者: vlan3998 时间: 2011-09-22 20:25
你还直接点我这才叫悲剧，服务器补丁似乎都打齐了，也检查了是否被植入telnet等shell 反正没找出个究竟，那家伙总是周末行动该了管理员密码装个流量监控软件密码竟然悲剧的给改成123456

作者: chenyx 时间: 2011-09-22 20:25
确实够狠毒的.不过,下次入侵之后,想办法在PE环境下,尝试修复下网站的日志,看看能不能恢复,从中找出蛛丝马迹

作者: mxiaohua1768 时间: 2011-09-22 20:28
回复 5# chenyx

这家伙把所有的帐号都停用了，就剩一个他自己建的帐号。FUCK~

作者: mxiaohua1768 时间: 2011-09-22 20:29
回复 4# vlan3998

万能密码~

作者: chenyx 时间: 2011-09-22 20:32
对了,说了半天,楼主还没介绍系统情况呢,大致说下系统的情况
例如: os的版本,web服务的版本,等等

作者: taojie2000 时间: 2011-09-22 20:34
回复 1# mxiaohua1768

win2003? 2008?

作者: mxiaohua1768 时间: 2011-09-22 20:38
回复 9# taojie2000

2003的

作者: mxiaohua1768 时间: 2011-09-22 20:39
回复 8# chenyx

03的,IIS7 +ASP的+sql 2000的

作者: chenyx 时间: 2011-09-22 20:43
哦,asp的网站,楼主自己找个注入攻击工具检测下,看看有没有注入点.
另外,检查下sqlserver,没用的存储过程给他删除,还有,一般sql注入,会使用cmd之类的系统工具,楼主找到,将它们改名字.

作者: chenyx 时间: 2011-09-22 20:44
本帖最后由 chenyx 于 2011-09-22 20:46 编辑

还有一种可能,就是黑客获知了你后台的地址,并且,后台可能有弱口令;或者,还有一种情况,现在网站web编辑器(貌似Cu现在发帖的那个地方),也会有漏洞,楼主一并检查下,看看有没有最新的版本

作者: mxiaohua1768 时间: 2011-09-22 21:20
本帖最后由 mxiaohua1768 于 2011-09-22 21:23 编辑

回复 13# chenyx

应该是数据库的漏洞，netstat -an 看了下，有很多IP连接到1433端口了，我已经打了最新的SP4的补丁了，用 windows 更新了 N边了，数据库也重装了好几遍了，还是不行啊~

把数据库停了，之后在netstat -an 看就没有连接了，但一会之后数据库又被自动起来了，我日啊

作者: chenyx 时间: 2011-09-22 21:24
你机器不是有防火墙吗,禁止外面的访问你服务器的1433端口啊

作者: mxiaohua1768 时间: 2011-09-22 21:27
回复 15# chenyx

不知道这样应不影响网站

作者: chenyx 时间: 2011-09-22 21:29
本帖最后由 chenyx 于 2011-09-22 21:30 编辑

不会,除非你有从外网连接1433的需求,否则,干掉他(本机不好做的话,在路由器或者防火墙上做规则,只允许访问你的服务器的80口).

作者: mxiaohua1768 时间: 2011-09-22 21:33
回复 17# chenyx

呵呵，服务器直接用的外网地址，不经过路由，只能在360防火墙设置了

作者: chenyx 时间: 2011-09-22 21:53

,什么防护都没有,直接暴露在互联网上?无语.
你还是先把篱笆扎起来吧

作者: vlan3998 时间: 2011-09-22 22:21
服务器设置的密码绝对字母数字符号混合，可到了周末系统管理员密码就被改成123456 都感觉这2003系统是不是有bug没更新完，可系统自带的更新也没发现漏洞唯一欣慰的是密码被破了也没搞什么破坏可这设的密码也太容易被扫描了

作者: vlan3998 时间: 2011-09-22 22:27
服务器设置的密码绝对字母数字符号混合，可到了周末系统管理员密码就被改成123456 都感觉这2003系统是不是有bug没更新完，可系统自带的更新也没发现漏洞唯一欣慰的是密码被破了也没搞什么破坏可这设的密码也太容易被扫描了

作者: unix5188 时间: 2011-09-23 08:42
使用winows自带防火墙把没有使用的端口关掉，数据库尽量的设置指定ip连接。在做个loghost把日志定向到其他的电脑上去，这样可以收集到日志。

作者: hunter_search 时间: 2011-09-23 08:50
应该是开放了，网站之类的服务把，然后通过网站的漏洞进入主机，提权，放置后门，这个得很有经验的人，替你分析了

作者: jhinux 时间: 2011-09-23 09:14
楼上的分析好没意思。

作者: 只爱睡觉 时间: 2011-09-23 09:16
怎么还是被黑呢？安全不做不黑你黑谁。

作者: q1208c 时间: 2011-09-23 12:54
要看是提供什么服务吧?

说不定是服务的问题呢.

作者: xihai 时间: 2011-09-23 15:16
我也遇到了，一般是半夜行动，搞几次，服务器收发不了数据，逼得我关服务器，现在装了个诺顿，关端口，加补丁，貌似抵了一段时间了。

作者: sndbox 时间: 2011-09-23 15:41
apache还是比IIS安全很多的，它以管理员身份监听，但连接使用nobody用户，这样权限就小了很多

作者: chenyx 时间: 2011-09-23 15:45
回复 29# sndbox

安全是相对的.楼主的问题是使用的cgi是asp的,没得选择,只能是iis.

作者: rteta 时间: 2011-09-23 15:55

回复 sndbox

安全是相对的.楼主的问题是使用的cgi是asp的,没得选择,只能是iis.
chenyx 发表于 2011-09-23 15:45

貌似听说 apache有asp模块的可以用的看那个小说 "我是一个黑客 " 里面他们就是用的apache+asp 求高人解？

作者: chenyx 时间: 2011-09-23 17:20
听说过,没实际用过,听说apache还可以支持asp.net呢.

作者: 极北之北 时间: 2011-09-23 17:32
提示: 作者被禁止或删除内容自动屏蔽

作者: zsx 时间: 2011-09-23 23:22
本帖最后由 zsx 于 2011-09-23 23:23 编辑

看看。。。。。。。。。。。。。。。。。。。[attach]507423[/attach]

windows加固脚本-2003.rar (1.62 KB, 下载次数: 37)

windows2003.rar (846.47 KB, 下载次数: 50)

作者: taojie2000 时间: 2011-09-23 23:28
Apache 支持ASP 老早的了现在还有用吗

作者: wiliiwin 时间: 2011-09-24 01:04
应该从几个方面看

1.  系统是否有漏洞

2.  数据库是否有漏洞,从你说外网都能连接你数据库这也太不安全了吧,数据库基本都是在内网连接,外网访问都是关闭的

3. 从你网站页面入手看看是否有注入漏洞或者上传漏洞  后台密码是否强壮

做好这3方面  菜鸟级的都入侵不进来的

作者: davelv 时间: 2011-09-24 06:47
服务器上装杀软和360防火墙？？？
额。。杀软除非你用来扫描用户上传文件外没什么用，防火墙还是换个稍微专业的吧。。。

作者: jinghun111 时间: 2011-09-24 07:22
提示: 作者被禁止或删除内容自动屏蔽

作者: jnbxzl0200157 时间: 2011-09-24 10:20
汗，这么多被黑啊，看来得去开个公司搞防火墙

作者: preetboycool 时间: 2011-09-24 15:12
重装是没用的，还是要找到bug

作者: 舞林linux 时间: 2011-09-24 18:17
iis7的有类似nignx的解析洞，做好上传目录的权限限制吧，不给解析

作者: consatan 时间: 2011-09-24 23:18
LZ的服务器开了WEB服务，那应该是WEB服务有问题，或者数据库漏洞了
WIN 2003如果打了补丁的话，被黑的几率应该挺低的，除非你遇到高级黑客，或者说你就直接开了3389端口...而且还允许任意IP登录的...如果密码还是简单密码...那就更杯具了...我所有服务器的密码都是用随机16位字母数字符号混合密码，每台服务器的密码都是不一样的...当然...得把密码记到笔记本里...

BTW，刚看了LZ的描述，数据库安装了SP4，那....是MS SQL SERVER 2000 SP4？？这个数据库是不是旧了点啊....而且貌似MS已经停止支持了吧？？google下，MS在07年的时候停止对 SP3A的支持，SP4没查到，不过我印象中，我们内网的考勤软件就是用的SQL 2000，貌似从来没看到有补丁...

如果只是开了WEB服务，那对外只需要开放80端口(如果你不是用80端口，那就开放相应端口)，SQL服务端口，除非你有从远程连接到SQL服务器的需要，如果只是本机或者内网需要访问SQL服务的话，那完全可以屏蔽掉外网对SQL服务端口的访问

作者: 178007036 时间: 2011-09-25 00:37
回复 1# mxiaohua1768

被拿了后台就算了，还直接给人拿了服务器还不止一次，还重装{:2_177:}。你没防火墙么？文件能随便改写没权限限制么？你给搞个"HIPS+防火墙"采用白名单规则并记录被阻止的行为，这样能防止被入侵，也许还能从被阻止日志中看出是是因为什么被入侵的。

作者: Hongqiyaodao 时间: 2011-09-25 08:23
提示: 作者被禁止或删除内容自动屏蔽

作者: mxiaohua1768 时间: 2011-09-25 09:27
回复 42# consatan

怎么设置拒绝外网对SQL的访问？在sql的企业管理器上设置还是在防火墙上设置

作者: 南极雨 时间: 2011-09-25 18:20
回复 1# mxiaohua1768

呵呵,从组策略里面下点功夫...
gpedit.msc

作者: guogongzhou 时间: 2011-09-25 22:43
回复 45# mxiaohua1768
防火墙设置，像sqlserver的端口一般都不用默认的1433，要不改掉，否则就要禁止放出1433端口。

作者: 毛xx总理 时间: 2011-09-25 22:49
裸蹦吗

作者: 大邪神 时间: 2011-09-26 02:51
方法很多，最简单的是使用自带防火墙禁止除80和你的远程之外一切端口，不要说你不会！！

作者: chinesedragon 时间: 2011-09-26 13:36
可以试试Win2008

作者: IT民工--贵人鸟 时间: 2011-09-26 14:26
提示: 作者被禁止或删除内容自动屏蔽

作者: Mryang8617 时间: 2011-09-26 16:56

什么设备都没过支持挂在外网不被人黑就见鬼了！

作者: cxrcool 时间: 2011-09-26 17:24
为什么不上centos系统呢？
我可怜的vps也是装了360安全卫士才没有被攻击过

准备哪天有空换centos了

作者: heut2009 时间: 2011-09-26 19:44
不要相信windows 系统，无论如何也不要相信。一切系统之上的安全策略都是一层纱。

作者: 帅哥露小缝 时间: 2011-09-26 20:11

为什么不上centos系统呢？
我可怜的vps也是装了360安全卫士才没有被攻击过

准备哪天有空换centos了
cxrcool 发表于 2011-09-26 17:24

360安全卫士你太逗了

作者: cai120120-pb 时间: 2011-09-26 20:58

学习学习

作者: wlforyou1 时间: 2011-09-27 08:50
哈喽我来了。

作者: wlforyou1 时间: 2011-09-27 08:57
数据库尽量的设置指定ip连接，还有装sqlserver的时候默认的1433端口改掉。
你最大的可能就是asp程序有问题。

弱弱的问下，数据库尽量的设置指定ip连接，怎么设置呀。

作者: cn3gzb 时间: 2011-09-27 11:25
我的站也是，有个莫名其妙浏览多了10倍

作者: ppww2011 时间: 2011-09-27 11:58
强化一些安全性。

作者: sherrywong 时间: 2011-09-27 15:02
为了安全，还是重做系统吧

作者: yeats520 时间: 2011-09-27 16:21

回复 chenyx

把日志给清空了，太狠了
mxiaohua1768 发表于 2011-09-22 20:18

没一点职业素养！

作者: wuyuxinyan 时间: 2011-09-27 17:16
个人建议换个防火墙，推荐使用comodo或者诺顿
对于楼主被黑事件我深感同情！系统打了补丁，又重装过，那系统应该没后门，也就意味这系统这方面没问题。
我觉得楼主应该从网站入手，毕竟你的网页是用ASP的，这方面出的问题最多。如果我没猜错应该是从某个有漏洞的网页开始渗透，从而达到入侵的目的。看了楼主的做法，我觉得你一直在做无用功，花点心思在网站上吧。

作者: 章北海 时间: 2011-09-27 17:26
提示: 作者被禁止或删除内容自动屏蔽

作者: ipeter 时间: 2011-09-28 11:21
本帖最后由 ipeter 于 2011-09-28 11:23 编辑

杀毒软件根本不能防黑，防黑是要防火墙的。另外，楼主的系统是否来自正规渠道？如此频繁的重装，呵呵。
如果防火墙只开放某些特定端口，例如80，那入侵渠道只有一个了，就是你的IIS漏洞（IIS程序如果打了补丁，应该没问题了，可是设置呢？是否分配了过大的权限？），或者是应用写得有问题。

作者: lolizeppelin 时间: 2011-09-28 15:03
网上抓会儿包自己看看每天有多少人扫1433和3389之类的端口吧

端口都不堵哎还360呀，不被黑才怪呢

作者: mxiaohua1768 时间: 2011-09-29 12:09
本帖最后由 mxiaohua1768 于 2011-09-29 12:12 编辑

今天登陆服务器看了一下，又一个恶意用户，哈哈~无语了！第三次重装了，真丫的，找不出什么原因，

作者: chenyx 时间: 2011-09-29 13:48
漏洞还是存在,重装系统是不能解决问题的.

作者: snow888 时间: 2011-09-29 15:30
看了大家的讨论，忍不住说两句。

从楼主反应的情况来看，操作系统和IIS服务存在漏洞的可能性较小，由于系统采用的是 ASP ，出现问题的可能性在 asp 程序代码上，很可能是 web 页面入侵，然后提权获得了系统的管理用户权限。另一个可能的情况是利用了 ms sql server 的漏洞，通过 sql 注入入侵，然后提权所致。

从楼主描述上看，貌似数据库和web服务放置在同一台机器上，这样的危险性更大。

其实分开放置也无法避免被黑的命运。

从楼主反应的情况看，采用的是两层的网络架构，这样的架构具有天然的缺陷，试想一下，阿里巴巴、京东方、卓越等在线交易网站，哪个不是采用的多层网络架构。即便如此，前段时间依然爆出大批淘宝用户被黑的情况。

最后的建议，反复重装系统，不是解决问题之道，建议从 asp 代码上入手，看看是否存在漏洞（工作量不小）。反复出现这种情况，先抓包，然后建议报警，对侵入者施以惩戒。

作者: salmon5 时间: 2011-09-29 15:41
1433端口？
360防火墙？

作者: yhliu 时间: 2011-09-29 15:48
服务器外加一个linux网关做防火墙。建议用apache，要安全的多，而且不易中毒。

作者: mxiaohua1768 时间: 2011-09-29 17:05
回复 70# snow888

好像情况是这样啊，这个恶意用户就是把自己加到administrators里的，netstat -an 看了下端口，有很多连到1433 上得，我已经把数据库设置成只能从本地连接了，把网站程序也杀毒了，但
还是被黑了

作者: chenyx 时间: 2011-09-29 17:23
怀疑楼主的程序有注入点,被人注入,然后提权了.
我在前面就提醒过你,自己找一个sql注入的工具测试下,楼主也没测试

作者: allen3371 时间: 2011-09-29 17:25
看样子是asp代码有漏洞。。所以，不修改代码，系统没办法安全的

楼主网站是什么？自己找个啊D注入工具查一下

作者: kiss8212180 时间: 2011-09-29 17:25

看了大家的讨论，忍不住说两句。

从楼主反应的情况来看，操作系统和IIS服务存在漏洞的可能性较小，由于系 ...
snow888 发表于 2011-09-29 15:30

说的很对，前段时间就碰到这样的问题，也是APS代码，其中被注入了恶意的代码，它可以通过这些代码提权、访问服务器上的任何目录、以及注册表...

作者: mxiaohua1768 时间: 2011-09-30 09:55
回复 74# chenyx

该用什么工具，

作者: chenyx 时间: 2011-09-30 09:59
回复 77# mxiaohua1768

74楼已经给你了,自己下载测试下.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)