昨天收到通告,发现服务器被入侵。经过初步检查是因为应用出现了注入漏洞,当时检查没发现系统上有入侵痕迹,做了简单的修复就回家,想想感觉不对!既然对方声称已经拿到“系统最高权限”(PS:系统最高权限是SYSTEM,对方拿到的只是指定的管理员权限,看来对方根基不牢固啊。),回想看过的资料记得提过使用系统服务来隐藏后门,对啊!怎么没有想到呢?今早一来便上服务器开始检查,首先检查进程没有发现异常,检查远程登录的Log发现确实有不明Ip登录,GOD!
使用最简单也是最有效的查看办法,因为之前我专门指定了一个用户来运行SQL,但是因为涉及到数据库的一些目录权限问题,所以我将这个用户分配到了Administrators组,便留下了后患!我检查了用户配置文件发现其帐户目录中存在黑客工具,看来是登录进来了!奇怪,之前设置的这个帐户是无权本地和远程登录的啊,这个问题我也一直没有找到原因。
于是禁止用户远程访问权限,并且将RDP权限中加入了这个用户为拒绝!既然人家已经进来了,也只能将计就计,将账户目录的安全性配置为管理员组和ONWER拒绝,这样一来即使因SQL漏洞对方在进入也只是一个空的界面很难做其它动作,当然还是有突破的办法!不过,起码可以抵挡一段时间!可以让我们及时发现入侵者。
最后还是要从SQL下手才能解决问题,可是因为环境要求,做端口限制或者IPSec是不可能的,不过我决定还是把UDP1434给封上。最后从xp_cmdshell下手,关闭它来解决基本的问题!
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'(这条命令是用来恢复的)
监视一段时间好了!唉……