新弄的香港VPS被黑客入侵,特此记录

昨天:

远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下: http://www.cyqdata.com/cyq1162/article-detail-54353

虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。 


今天: 

又上去看了一下,突然看到这进程又占了1G虚拟内存。

更一看,发现存在数字型的进程名称,一看就知道服务器中扫了,挂了。

 

于是发现了:

1:任务管理器里的连接用户,多了一个陌生的user正在链接,我二话不说就断开该用户的链接,注销该账号的链接。

2:在计算机管理-本地用户组里,发现了4-5个被新建的账号,一一删除了。

3:进程里N个陌生进程,结束了,包括多个cmd.exe,多个ntsd.exe

进程文件: ntsd or ntsd.exe

进程名称: Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000(Microsoft Windows XP)系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用,用来强制结束杀毒软件进程。

4:查看系统服务,竟然有四五个进程,系统级别的,还无法直接停止的那种:

新弄的香港VPS被黑客入侵,特此记录_第1张图片 

5:查看了C盘,一堆牛B的工具存在,从修改日期看,好像中招几天了:

新弄的香港VPS被黑客入侵,特此记录_第2张图片 

究竟黑客是从哪入侵的?

我查了事件日志,发现没有登陆连接日志。

于是我开始了以下猜测:

1:VPS不正常的那个进程有漏洞?

2:服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

3:网站?

4:数据库?

 

问题1:VPS的XenGuestAgent.exe进程 引发的?

人家提供商说:

几百台VPS在运行,要是VPS的虚拟进程有问题,那肯定是一堆受到入侵,不会是你单独一个。

说的很有理,好像这么一回事,但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

 

问题2: 服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

由于我vps操作系统运行时就把补丁更新给停了,于是我问vps提供商:

自带的操作系统,默认补丁都打上的吧。

对方回复:补丁打到上系统的那天,新的香港VPS上了半年,补丁也就是半年前。

我想:win2003都N年前的系统,老一辈的漏洞补丁早就补了,半年里应该没啥新漏洞,有估计也是难度很高的,一般真黑客怎么会弄这么个vps这么有难度。

 

问题3:网站?

网站数据库操作用的CYQ.Data,基本所有操作都有强过滤系统,SQL注入不存在。

倒是本人开了个后台sqlexe页面,不过页面也改过名字,虽然可以执行任意语句,不过页面名称只有自己知道,执行前也需要新的密码,我还特意执行了一条:

 

抛异常,看来默认sp4也做了相应功课:

 新弄的香港VPS被黑客入侵,特此记录_第3张图片


4:数据库?

突然意识到什么,这个vps放了个临时站,数据库没弄什么权限,连sa的密码也是弱口令,到数据库一看,果然中招了:

新弄的香港VPS被黑客入侵,特此记录_第4张图片

 

好像这黑客给我留了这个账号提示,不然真要猜死人~~~~

大体得到了黑客入侵的入口:SA弱口令,从这里为突破口入侵了。

好了,特此记录,晚点该重装系统了。 

你可能感兴趣的:(新弄的香港VPS被黑客入侵,特此记录)