У меня есть компьютер с Windows Server 2003 SP2 с установленными на нем IIS6, SQL Server 2005, MySQL 5 и PHP 4.3. Это не производственная машина, но она доступна миру через доменное имя. На машине включен удаленный рабочий стол, и на нем активны две административные учетные записи.
Этим утром я обнаружил, что машина вышла из системы, а имя неизвестного пользователя все еще оставалось в текстовом поле входа. В ходе дальнейшего расследования я обнаружил, что были созданы два пользователя Windows, антивирус удален, а на диск C: скопировано небольшое количество файлов .exe.
Я хотел бы знать, какие шаги я должен предпринять, чтобы этого больше не повторилось, и на каких областях я должен сосредоточиться, чтобы определить путь входа. Я уже проверил netstat -a, чтобы увидеть, какие порты открыты, и там ничего не показалось странным. Я нашел неизвестные файлы в папке данных для MySQL, которые, я думаю, могли быть точкой входа, но я не уверен.
Я был бы очень признателен за шаги для проведения хорошего вскрытия взлома сервера, чтобы я мог избежать этого в будущем.
Обзор после расследования
После некоторого расследования, кажется, я выяснил, что произошло. Сначала машина не была в сети в период с августа 2008 года по октябрь 2009 года. За это время была обнаружена уязвимость в системе безопасности, MS08-067 Уязвимость. "Это уязвимость удаленного выполнения кода. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить полный контроль над уязвимой системой удаленно. В системах на базе Microsoft Windows 2000, Windows XP и Windows Server 2003 злоумышленник может воспользоваться эта уязвимость передается через RPC без аутентификации и может запускать произвольный код ». Эта уязвимость была исправлена с помощью обновления безопасности KB958644, выпущенного в октябре 2008 года.
Поскольку в то время компьютер был отключен от сети и пропустил это обновление, я считаю, что эта уязвимость была использована вскоре после того, как компьютер вернулся в сеть в октябре 2009 года. Я нашел ссылки на программу bycnboy.exe, которая была описывается как бэкдор-программа что затем наносит серьезный ущерб зараженной системе. Вскоре после того, как машина была подключена к сети, автоматические обновления установили патч, который закрыл возможность удаленного управления системой. Поскольку бэкдор теперь был закрыт, я считаю, что злоумышленник затем создал физические учетные записи на машине и смог использовать машину еще неделю, пока я не заметил, что происходит.
После агрессивной борьбы с вредоносным кодом, .exes и .dll, удаления веб-сайтов с самостоятельным хостингом и учетных записей пользователей, компьютер снова находится в рабочем состоянии. В ближайшем будущем я буду следить за системой и просматривать журналы сервера, чтобы определить, повторяется ли инцидент.
Спасибо за предоставленную информацию и шаги.
Вскрытие - черное искусство само по себе. Каждый раз это немного отличается, потому что на самом деле нет двух одинаковых взломов. Имея это в виду, ниже представлен базовый обзор рекомендованного мной процесса с некоторыми конкретными примечаниями, касающимися вашей ситуации:
Обычно вы выполняете шаг 2, если собираетесь привлечь правоохранительные органы. Вы выполняете шаг 3, чтобы вы могли просматривать информацию после восстановления сервера без необходимости читать копию изображения, созданную на шаге 2.
Насколько подробен шаг 4, зависит от ваших целей: просто заткнуть дыру - это другой вид расследования, чем отслеживание того, кто украл какой-то ценный бит данных :)
Шаг 6 ИМХО критичный. Вы не «исправляете» скомпрометированный хост: вы стираете его и начинаете с заведомо исправного состояния. Это гарантирует, что вы не пропустите какой-нибудь неприятный остаток на коробке в виде бомбы замедленного действия.
Это ни в коем случае не полный план вскрытия. Я отмечаю это как вики сообщества, так как я всегда ищу улучшения процесса - я не часто им пользуюсь :-)