Vps

黑客嘗試 Windows Server 2019

  • October 9, 2020

我有一個用於託管網站的 Windows Server 2019 VPS。它具有所有最新更新。但不知何故,有一個(部分)黑客嘗試。我首先通過收到的簡訊注意到它,因為 Microsoft 註冊伺服器 (regsvr32.exe) 的 CPU 使用率很高。在此站點Process Explores的幫助下,原因是ProgramDAta文件夾中的 DLL。

在那裡我找到了一個名為 的 zip set.zip。包含以下5個文件。comhij.dll, let.exe,和. rn.bat_ 似乎 .bat 文件已被執行並正在執行腳本。但它以某種方式失敗了,也許是 Windows Defender 或其他東西阻止了它,導致 CPU 過高。我知道這一點,因為 .bat 中的最後幾行導致它自行刪除。而且我找不到腳本想要進行的任何更改。x.mof``xg.dll

我將 zip 文件複製到自己的 PC 上,Norton 360 立即將 let.exe 辨識為 Hacktool,將 comhij.dll 辨識為 Trojan Horse,將 xg.dll 辨識為 Trojan.Get.MTB。

伺服器啟動了 Windows 防火牆,並且在提供商級別TransIP也啟動了防火牆。

我發現它set.zip是由沒有 FTP 訪問的 AppPools(託管DotNetNuke CMS )之一創建的。

所以我的問題是如何找出這種情況是如何發生的,以及將來如何防止它發生?以及 AppPool 如何將文件寫入其根目錄之外的磁碟?根據要求,我可以發布整個 .bat 腳本。

  • 這是怎麼發生的?

您的網站(無論它執行什麼內容)被黑客入侵,有人用它上傳並執行木馬到您的伺服器。它究竟是如何被黑客入侵的取決於網站本身,可能是一個錯誤、一個漏洞、一個過於簡單的密碼……任何東西,真的。

  • AppPool 如何將文件寫入其根目錄之外的磁碟?

這取決於執行應用程序池的使用者帳戶和文件系統權限。此外,即使使用者帳戶實際上沒有寫入文件的權限,也可能涉及權限提升。

  • 我將來如何防止它?

除了加強您的安全之外,還要警惕您網站中的錯誤或漏洞;如果您正在執行由其他人創建的 Web 應用程序,請確保檢查他們的已知漏洞並應用他們的更新。

引用自:https://serverfault.com/questions/1037075