IIS6, SQL Server 2005, MySQL 5 및 PHP 4.3이 설치된 Windows Server 2003 SP2 컴퓨터가 있습니다. 이것은 생산 기계는 아니지만 도메인 이름을 통해 전 세계에 노출됩니다. 컴퓨터에서 원격 데스크톱이 활성화되어 있고 두 개의 관리 계정이 활성화되어 있습니다.
오늘 아침에 로그인 텍스트 상자에 알 수없는 사용자 이름으로 컴퓨터가 로그 오프 된 것으로 나타났습니다. 추가 조사를 통해 두 명의 Windows 사용자가 생성되었고 안티 바이러스가 제거되었으며 .exe 파일이 C : 드라이브에 삭제되었습니다.
내가 알고 싶은 것은, 이것이 다시 발생하지 않도록하기 위해 어떤 조치를 취해야하며, 진입 경로를 결정하기 위해 집중해야하는 영역입니다. 이미 netstat -a를 검사하여 열려있는 포트를 확인했으며 아무 것도 이상하게 보이지 않습니다. MySQL의 데이터 폴더에서 알 수없는 파일을 찾았습니다.이 엔트리 포인트 일지 모르지만 확실하지 않습니다.
서버 해킹에 대한 사후 평가를 수행하여 앞으로 이것을 피할 수있는 단계에 정말로 감사드립니다.
사후 조사 검토
조사를 거쳐서 무슨 일이 있었는지 알았습니다. 먼저 '08 년 8 월부터 '09 년 10 월까지는 기기가 온라인 상태가 아닙니다. 해당 기간 동안 보안 취약점 MS08-067 취약점 이 발견되었습니다 . "이는 원격 코드 실행 취약점입니다.이 취약점을 성공적으로 악용 한 공격자는 영향을받는 시스템을 원격으로 완전히 제어 할 수 있습니다. Microsoft Windows 2000 기반, Windows XP 기반 및 Windows Server 2003 기반 시스템에서 공격자는 악용 할 수 있습니다. 인증없이 RPC를 통한이 취약점으로 인해 임의 코드가 실행될 수 있습니다. " 이 취약점은 2008 년 10 월에 발표 된 KB958644 보안 업데이트로 해결되었습니다.
당시 컴퓨터가 오프라인 상태 였고이 업데이트가 누락 되었기 때문에이 취약점은 컴퓨터가 '09 년 10 월에 온라인으로 돌아온 직후에 악용 될 것으로 생각합니다. 백도어 프로그램 으로 설명 된 bycnboy.exe 프로그램에 대한 참조를 찾았 습니다. 컴퓨터가 온라인 상태가 된 직후 자동 업데이트로 패치를 설치하여 시스템을 원격으로 제어 할 수 없게되었습니다. 백도어가 이제 폐쇄되었으므로 공격자는 시스템에서 실제 계정을 만들고 일주일 동안 머신을 사용하여 어떤 일이 발생했는지 알 수 있다고 생각합니다.
악성 코드, .exe 및 .dll을 적극적으로 추적하고 자체 호스팅 웹 사이트 및 사용자 계정을 제거한 후 컴퓨터는 이제 다시 작동 상태에 있습니다. 가까운 시일 내에 시스템을 모니터링하고 서버 로그를 검토하여 사고가 반복되는지 확인합니다.
제공된 정보와 단계에 감사드립니다.