新弄的香港VPS被黑客入侵,特此记录

简介:

昨天:

复制代码

远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下: http://www.cyqdata.com/cyq1162/article-detail-54353

虽然知道这进程不正常,但是这进程信息非常少,只能结束掉处理。 

复制代码


今天: 

又上去看了一下,突然看到这进程又占了1G虚拟内存。

更一看,发现存在数字型的进程名称,一看就知道服务器中扫了,挂了。

 

于是发现了:

1:任务管理器里的连接用户,多了一个陌生的user正在链接,我二话不说就断开该用户的链接,注销该账号的链接。

2:在计算机管理-本地用户组里,发现了4-5个被新建的账号,一一删除了。

3:进程里N个陌生进程,结束了,包括多个cmd.exe,多个ntsd.exe

复制代码

进程文件: ntsd or ntsd.exe

进程名称: Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000(Microsoft Windows XP)系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用,用来强制结束杀毒软件进程。

复制代码

4:查看系统服务,竟然有四五个进程,系统级别的,还无法直接停止的那种:

 

5:查看了C盘,一堆牛B的工具存在,从修改日期看,好像中招几天了:

 

究竟黑客是从哪入侵的?

我查了事件日志,发现没有登陆连接日志。

于是我开始了以下猜测:

复制代码

1:VPS不正常的那个进程有漏洞?

2:服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

3:网站?

4:数据库?

复制代码

 

问题1:VPS的XenGuestAgent.exe进程 引发的?

人家提供商说:

几百台VPS在运行,要是VPS的虚拟进程有问题,那肯定是一堆受到入侵,不会是你单独一个。

说的很有理,好像这么一回事,但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

 

问题2: 服务器有补丁没更新?(vps新弄时,我就把自动更新给停了)

复制代码

由于我vps操作系统运行时就把补丁更新给停了,于是我问vps提供商:

自带的操作系统,默认补丁都打上的吧。

对方回复:补丁打到上系统的那天,新的香港VPS上了半年,补丁也就是半年前。

我想:win2003都N年前的系统,老一辈的漏洞补丁早就补了,半年里应该没啥新漏洞,有估计也是难度很高的,一般真黑客怎么会弄这么个vps这么有难度。

复制代码

 

问题3:网站?

网站数据库操作用的CYQ.Data,基本所有操作都有强过滤系统,SQL注入不存在。

倒是本人开了个后台sqlexe页面,不过页面也改过名字,虽然可以执行任意语句,不过页面名称只有自己知道,执行前也需要新的密码,我还特意执行了一条:

 

抛异常,看来默认sp4也做了相应功课:

 


4:数据库?

突然意识到什么,这个vps放了个临时站,数据库没弄什么权限,连sa的密码也是弱口令,到数据库一看,果然中招了:

 

好像这黑客给我留了这个账号提示,不然真要猜死人~~~~

大体得到了黑客入侵的入口:SA弱口令,从这里为突破口入侵了。

好了,特此记录,晚点该重装系统了。 


版权声明:本文原创发表于博客园,作者为路过秋天,原文链接:

http://www.cnblogs.com/cyq1162/archive/2013/04/15/3022465.html

相关文章
|
11月前
|
安全
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
634 0
|
弹性计算 安全 数据安全/隐私保护
阿里云ECS服务器被植入挖矿木马解决过程分享
阿里云ECS服务器是目前很多网站我们在使用的,但是如果安全做的不够好,有时候就会被植入木马,例如我们有时候会收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。 出现这种情况往往网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给我们造成了很大的影响。
10880 0
|
SQL 安全 关系型数据库
网站被黑客敲诈勒索的处理办法
我有个好兄弟也是做程序代码的,他前天突然跟我说他之前接的一个私活网站,突然被黑客入侵了,拿着数据库管企业老板要挟要钱,不给钱的话说要把数据全删了,因为我本身就是做网站漏洞修复的服务商,有安全漏洞的问题,好兄弟都会想到我,他很奇怪,因为用的mysql数据库,数据库3306那个端口没对外开放,怎么会被人把这个数据库入侵了,我一猜我就说那肯定是这个数据库被别人Sql注入漏洞攻击了。通过了解知道网站用的是PHP脚本开发的,因为目前PHP很多源码都是存在一些漏洞的。
426 0
网站被黑客敲诈勒索的处理办法
|
域名解析 安全 JavaScript
企业网站被入侵挂马怎么解决
各位小伙伴们大家好。今天给大家分享一个事情,就是我客户的企业小站被黑客挂马了,那现在是2022年的2月初假期期间平时也不怎么打开那个小站,好,在2月2号的时候闲来无事点开看一看,发现点开网页的时候,就在首页的那里就卡顿了一下,因为网站用了CDN加速,按理说应该不会卡的,那我第一想到的就是情况不太妙,然后我就就这样右键查看了一些源代码,发现在在title标签这里多了一个不明的js链接,那我第一想到的就是黑链、菠菜或者是给其他的网站挂链接,增加它的网站权重,虽然说网站很小,但每天还有几百个IP,毕竟是通过优化排名做上去的。
168 0
企业网站被入侵挂马怎么解决
|
SQL 监控 安全
企业网站遭遇黑客攻击 如何快速查找漏洞原因
好多企业网站遭遇黑客攻击,像黑客入侵在互联网只要有数据网络,就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站,从而任意地读取或篡改目标的重要数据,又又或者使用目标系统软件上的功能模块,比如对手机的麦克风开展监听,开启对方摄像头开展监控,使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货币,使用目标设备的网络带宽能力发动CC并发攻击方式其他人等等。又或者是破解了一个数据库服务器的密码,进去查看敏感数据信息、远程操作门禁/红绿灯。以上这种都属于经典的黑客入侵场景。
220 0
企业网站遭遇黑客攻击 如何快速查找漏洞原因
|
安全 网络安全 数据库
企业网站如何防止被黑客入侵
企业官网和个人网页都不可以忽略网站安全问題,一旦一个网站被黑客入侵,忽然来临的网站安全问題会给网站产生致命性的伤害。为了避免网站安全问題的产生,人们能够采用一些必需的对策,尽量减少网站被黑客攻击。下边是几个一定要了解的网站安全防范措施的详细描述。
1029 0
企业网站如何防止被黑客入侵
|
监控 安全
防范自动连接国外黑客服务器的“古董”病毒
上海计算机病毒防范服务中心预警,近期一种名为“古董感染虫变种”的危险病毒在网上爆发,用户电脑一旦被感染,该病毒会自动连接国外黑客服务器,对系统安全和个人资料产生威胁,计算机用户需严加防范。 据介绍,这是一种感染型病毒,它能对可执行文件和脚本文件进行感染,然后执行远程控制与自动访问网站的任务。
913 0
|
安全
悲剧:金山毒霸官网被黑客攻破
6月2日下午两点左右,本网接读者反应,发现金山毒霸官网博客被黑客劫持,网页内容已面目全非。 在输入金山毒霸官网地址http://blog.duba.net/,已没有金山毒霸关于其产品的介绍及下载,变成了封署名为熊猫烧香致铁军的一封信,信中除了一些莫名其妙,令人费解的怪话外,附加了伟哥产品的图片,实为黑客的恶作剧。
960 0
|
安全
“极品时刻表”被挂马 已有6万网民遭攻击
3月9日,瑞星“云安全”系统提供的数据表明,网民中流行的“极品时刻表”软件被黑客挂马,截至发稿时为止,瑞星已拦截到66757人次网民遭到攻击。 瑞星安全专家表示,极品时刻表内嵌的网页被黑客植入木马,当用户使用该软件查询列车车次时,就会遭到攻击。
977 0