我们公司的服务器被黑客入侵了,我想知道他是如何入侵的

时间:2020-12-05 17:56:13
注:请详细介绍,不要笼统地说,不要说服务器漏洞太大了不被入侵才怪之类的话(这一点我很清楚)
    也不要让我去查什么什么资料,
    我只想知道具体的入侵步骤
    介绍详细的一定给分!觉得少的可以再加

公司的服务器情况如下:
Windows2000 server sp3,IIS,开了Web,FTP 服务,
因为是在IDC托管,为了方便开了远程终端服务,没有装杀毒软件,没有装防火墙,
管理员的账户没变:administrator,密码是足够复杂的(决猜不出来)
FTP的端口号改了,不是21
装了SQL Server,系统管理员的账号没改,还是sa,密码非常简单,只有2位(不是sa)

黑客入侵后在服务器上装了个网络金庸,增加了一个账号,拥有administrator权限,在“我的电脑”-属性-用户配置文件中增加了5个未知账户配置文件,没有对服务器进行恶意破坏,删掉那个黑客账户后过一段时间又出现了,怀疑已经被人开了后门

5 个解决方案

#1


最大的问题出在SQL SERVER上,由于密码简单,很容易被破解(几分钟就可以了),用很多扫描器都可以做到,具体实现方法看这里:
http://www.heibai.net/article/show.php?id=1500


取得SQL口令后,这样一来黑客们就可以通过SQL Server的客户端进行数据库远程连接,然后再通过SQL的远程数据库管理命令xp_cmdshell stored procedure(扩展存储过程)来进行命令操作: 

xp_cmdshell "net user id password /add" 
Xp_cmdshell "net localgroup Administrators id /add" 

  就以上两条简单的命令入侵者就能在MS SQL Server的服务器上马上新建一个管理员级别的Administrators组的用户。

以上工作也可以借助其他工具完成,如流光,sqlexec等等。

接下来,他就可以利用这个管理员账号取得所有用户的账号口令,轻松的使用你的终端服务,这样即使不种任何木马,也足以对你的机器进行完全控制。

当然也可以留几个后门方便以后进出,你最好系统的检查一下,碰到有什么可疑的地方再问。


#2


立即修改sql密码>删除不明来历用户>扫描自己的端口>删除木马>

#3


谢谢2位,怎么扫描自己的端口?
过会儿给分

#4


好!那我来推荐一个扫描器:Shadow Security Scanner

#5


你去下载一个xscan2.3扫描一下自己,在生成报告的链接里有针对漏洞的解决方案

#1


最大的问题出在SQL SERVER上,由于密码简单,很容易被破解(几分钟就可以了),用很多扫描器都可以做到,具体实现方法看这里:
http://www.heibai.net/article/show.php?id=1500


取得SQL口令后,这样一来黑客们就可以通过SQL Server的客户端进行数据库远程连接,然后再通过SQL的远程数据库管理命令xp_cmdshell stored procedure(扩展存储过程)来进行命令操作: 

xp_cmdshell "net user id password /add" 
Xp_cmdshell "net localgroup Administrators id /add" 

  就以上两条简单的命令入侵者就能在MS SQL Server的服务器上马上新建一个管理员级别的Administrators组的用户。

以上工作也可以借助其他工具完成,如流光,sqlexec等等。

接下来,他就可以利用这个管理员账号取得所有用户的账号口令,轻松的使用你的终端服务,这样即使不种任何木马,也足以对你的机器进行完全控制。

当然也可以留几个后门方便以后进出,你最好系统的检查一下,碰到有什么可疑的地方再问。


#2


立即修改sql密码>删除不明来历用户>扫描自己的端口>删除木马>

#3


谢谢2位,怎么扫描自己的端口?
过会儿给分

#4


好!那我来推荐一个扫描器:Shadow Security Scanner

#5


你去下载一个xscan2.3扫描一下自己,在生成报告的链接里有针对漏洞的解决方案