注册
登录
背景介绍:该服务器是租用的某公有云,为某业务系统的生产环境,为Window server 2003操作系统。服务器开启IIS,启用一个WEB系统。事件过程如下。 1. 9月12日,收到云平台的报警邮件,该服务器向外发DDos攻击,可能已被肉机。于是登录管理控制台,看了一下监控,发现在当天共有2次流出带宽飙到极限。可以明确的是,业务系统占用的带宽绝对达不到这个水平,初步判断是被肉鸡,并对外攻击。
2. 再查看一下前些天的服务器带宽占用情况,发现9月1日~9月12日,几乎每天的20:00-21:00,都会有一次带宽使用的波峰,由此确定本服务器被肉鸡并频繁对外发起攻击,并且黑客已获得了服务器的管理权限。同时,得到用户的反馈是近期使用系统时,偶尔会非常卡(因为在对外攻击的时间段,带宽被完全占用)。
3. 由于服务器没有购买云防火墙防护,因此在管理控制台,只能看到基础的一些预警信息和具体的漏洞利用过程。从控制台可以看到肉鸡攻击的目标为2个美国IP和1个台湾IP。 4. 远程登录服务器,检查安装在服务器上的网站安全狗和服务器安全狗,均没有报警,也没有异常日志。再次进行杀毒,也未发现病毒。 5. 打开服务器上的“计算机管理”-“系统工具”-“事件查看器”-“安全性”,可以看到9月12日,对外攻击那一时间段,可以看到有4个用户的登录日志记录。其中IUSR_iZ2399hole6Z、NETWORK SERVICE这两个用户有重大嫌疑。
6. 双击查看事件明细,可以看到这个用户是通过网络的ASP脚本登录。查看IIS上业务系统确是ASP.NET编写的,说明黑客极有可能是利用业务系统的漏洞黑进来并执行远程脚本。
7. 打开cmd窗口,查看系统的用户信息,可以看到有6个用户
8. 分别查看各个系统用户的明细,发现“IUSR_iZ2399hole6Z”这个用户一直处于活跃状态,除Administrator外,其他几个用户的最近活跃时间都较早,因此可以断定“IUSR_iZ2399hole6Z”为异常用户,黑客是通过这个用户登录进来的。
9. 分析完后,接下来就是处理异常,在“计算机管理”-“系统工具”-“本地用户和组”-“用户”,将异常用户禁用。同时,修改Administrator的用户密码。
10. 在云管理控制台的安全组中,控制对外端口的访问权限,由于默认的安全策略是白名单形式,即默认禁止所有端口的对外开放,只允许白名单上的访问权限配置。因此,我们只将WEB应用的端口开放出来,同时禁止所有远程访问的3389端口,只给特定管理员的IP开启3389端口的访问权限。
11. 至此,处理过程结束,虽未找出被利用的漏洞,但通过上述一系列的限制,再观察后续时间段内的服务器带宽情况和日志情况,表明服务器已恢复正常。 |
| 本文出处: http://www.toutiao.com/i6471055236134863374/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
