安基网 首页 IT技术 安全攻防 查看内容

一次大意导致的服务器被黑过程,还好菜鸟黑客让我损失不大

2018-10-31 10:46| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 上周五,把客户的DELL R840和DELL R440服务器送过去装到了机柜上,然后应软件公司的要求开通了远程桌面。刚好客户重新申请的电信专线也开通了,我就顺便在路由器上做好了端口映射,准备测试一下。在现场测试正常以后 ...

上周五,把客户的DELL R840和DELL R440服务器送过去装到了机柜上,然后应软件公司的要求开通了远程桌面。刚好客户重新申请的电信专线也开通了,我就顺便在路由器上做好了端口映射,准备测试一下。在现场测试正常以后,想到第二天是周末,准备让服务器烧两天,就没有关机。

回到公司远程桌面连接过去一切正常,就下线下班回家了。周一早上刚到公司,客户那边来电话了,说软件公司的人来了,准备安装软件,但是远程登录报密码错误。小编打开远程桌面,连过去一看,也是报密码错误。

我马上意识到服务器被人黑了。当时考虑到服务器还没有配置,怕登录麻烦,装机设的密码是Abc123,小编周五走的时侯准备改一下密码的,想着就是周末烧一下服务器,不至于就被黑了吧。没想到就真被人扫描弱密码了。

赶紧在网上下载了密码清除工具,赶到客户那里,拔了网线,U盘启动,将密码清除了。服务器出了这档子事,反正只有系统,一定是要重装的,整个周末的时间,双方装多少后门都有时间。但是小编准备重新一个复杂的密码,插上网线,再试一下对方。

在桌面上建了一个TXT文档,名字是“我准备重装系统了”!看对方会不会看!大约过了一个小时,小编再次连接远程桌面,果然,密码又被改了,看来对方根本没看我桌面上的文件啊,现在可以确定服务器里一定是有后门了。我刚搞完双给我改了,对方还是个急性子,这是赤裸裸的打脸啊。

再次拔掉网线,清除密码。小编决定找一下看看装了啥后门,然后再重装系统。因为服务器里没有安装其他任何应用,而且只有一个C盘和D盘,大致找一下并不困难。打开C盘,调成文件列表模式,按日期排列文件和文件夹,Windows 2012安装以后的文件和文件夹都是显示2013年,2014年的日期,我只需看看有没有最近修改日期的文件,很快小编便发现了有几个2018年10月26日修改过的文件夹和文件。10月26日这天,正好是周五。小编将服务器挂到网上的时间。

文件修改时间

然后发现对方在windows/reg/下面放了一个注册表文件和一个可执行文件。写入注册表里sethc.exe的键值指向的是这个可执行文件,点了一下,这个可执行文件还被加密了,需要输入密码才可以。然后去看了一下系统里的sethc.exe,果然已经被替换了。

很明显,对方用替换了sethc.exe,并且使用了注册表镜像,单纯删除sethc.exe是没有用的,马上会复制新的过去。

对方的注册表文件,将sethc.exe指向了后门程序

插上网线,远程桌面过去,按五次shift,果然那个熟悉的输入密码的窗口来了。至此,我已完全确认服务器上被安装了“5次Shift会触发粘滞键的shift后门”。

小编已不想再浪费时间去找有没有其他的后门了,反正系统是要重装的。虽然sethc后门我可以清掉,但小编我也不敢冒此风险,万一对方还有其他的后门,等服务器上线以后,会更麻烦。不如重新装系统,连RAID都重做,消除隐患。

后话:这次的被黑给小编造成的损失就是浪费大半天的时间,重装了操作系统。但是退一步说,如果这个“黑客”聪明一些,不要更改服务器的密码,而是潜伏在里面,那小编可能就是在周一改个复杂的密码就交给别人了。根本不会想到有人装了后门。过十天半月以后,客户服务器正常上线,那后面造成的损失就无法估量了。

另外,这件事也给小编提了个醒。服务器安全没有配置好之前,不要上线,更不要用简单密码将服务器挂到网上,基本相当于裸奔了。好在小编以前做linux技术支持时,也很喜欢扫描弱密码,曾经也拿过几百台的肉鸡,这些年没有搞技术支持,安全意识越来越差了。

当然,重装系统以后,小编设置了复杂的密码,调整了防火墙的配置,更改了3389端口,将服务器的安全性尽量提高。

本文由“弱电那些事”原创,当时在服务器上操作,截图不方,并没有截图下来。但情况是小编的亲身经历,供新手们参考。那些所谓的网络安全高手和“黑客”们绕道吧。

Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6618016823457612296/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部