那些黑客教会我的事
今天来了NB,冒充别人单位的“专家”,到某某局去看他们的机器,据说该机器莫名其妙地被攻击,上传了很多乱七八糟的木马啥的,还有若干啥啥问题。
被人领着去了,没有名片,简要地被介绍为“X工”。
用各种检查的小工具都查了一遍,没有任何奇怪的进程和服务,暂时看起来也没有任何不妥的连接。
sss也扫了扫,除了端口开得有点多,没报什么严重的问题。
把整个C盘最近10天的更新文件都翻了一遍,找出了3个.bat脚本,显然是黑客留下的,一一删除之。
真是多得有这些脚本,后来对我帮助巨大。仔细看了黑客留下的一个脚本,它主动去启动browser,lanmanserver, lanmanworkstation服务,都是文件共享有关的东西,顺手把这些服务都禁用了(其实我这就顺手把后门关上了,后面才知道)。
但悬念是这几个脚本怎麽被放上来的呢。可怀疑的对象很多,因为这台机器开了n多的服务,出事后最大嫌疑的IIS和SQLServer已经被关停了,但早上还是发现Server U里被添加了用户,所以可能还有其他的问题。
在现场时已经把能做的都做了调整。但回到酒店还是有点不安,因为悬念并没有解开。灵光一现之间,突然想起要去查一个事情,就是那几个脚本,其中一个所存放的目录名叫 ms-08067,隐约觉得这是微软一个严重的安全通告的代号。
果然啊果然!一查就水落石出了。ms-08067可是号称微软近4年来最严重的安全漏洞啊!它出现于10月底左右,针对的是未打补丁,又开放了445端口的文件共享服务,已经中招者无数了。这里有详细的攻击演示:http://security.ctocio.com.cn/tips/290/8548790.shtml,真是非常滴可怕。回头再检查sss的扫描记录,确乎当时445端口是开放着的,虽然只是对内网(显然内网已经陷落)。
唉,谢谢那位把脚本放在ms-08067目录的黑客,真是太受教了!
以后除了扫描和检查,上来就应该装个Microsoft Baseline Security Analyzer啊!
