首页 本类Hacked by batistuta Pirch98 irc.webchat.org 6667
网站可能被别人黑了,正在查木马。
今天早上接到一个安全公司的电话,告知这个事情,
说网站根目录下有个xx.txt和ix.txt果然在服务器发现这两个文件。
那个公司想让我们购买他的网络安全服务,
不知道网站是不是他黑的。
请问怎么解决?
用进程查看器查看开启的进程有:
Unknown0221.192.132.1013719221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013718221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013713221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013710221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013709221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013707221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013702221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013701221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013700221.192.132.1011433TIME_WAITTCP
Unknown0127.0.0.14630127.0.0.13717TIME_WAITTCP
System4221.192.132.101138LISTENUDP
System4221.192.132.101137LISTENUDP
System40.0.0.0445LISTENUDP
System4221.192.132.101139LISTENTCP
System4221.192.132.10180222.249.0.991232ESTABLISHEDTCP
System40.0.0.0445LISTENTCP
sqlservr.exe4360.0.0.01434LISTENUDPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
sqlservr.exe436221.192.132.1011433221.192.132.1013728ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
lsass.exe5400.0.0.04500LISTENUDPC:\WINDOWS\system32\lsass.exe
lsass.exe5400.0.0.0500LISTENUDPC:\WINDOWS\system32\lsass.exe
lsass.exe5400.0.0.01025LISTENTCPC:\WINDOWS\system32\lsass.exe
svchost.exe6920.0.0.0135LISTENTCPC:\WINDOWS\system32\svchost.exe
svchost.exe9000.0.0.01029LISTENUDPC:\WINDOWS\system32\svchost.exe
svchost.exe960221.192.132.1013724218.213.255.3080CLOSE_WAITTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960221.192.132.101123LISTENUDPC:\WINDOWS\System32\svchost.exe
svchost.exe960221.192.132.1013729218.213.255.3080ESTABLISHEDTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960127.0.0.13003LISTENTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960127.0.0.13002LISTENTCPC:\WINDOWS\System32\svchost.exe
svchost.exe9600.0.0.01026LISTENTCPC:\WINDOWS\System32\svchost.exe
alg.exe1364127.0.0.13001LISTENTCPC:\WINDOWS\System32\alg.exe
awhost32.exe13840.0.0.05632LISTENUDPD:\Program Files\Symantec\pcAnywhere\awhost32.exe
awhost32.exe1384221.192.132.101563161.48.56.2032326ESTABLISHEDTCPD:\Program Files\Symantec\pcAnywhere\awhost32.exe
ServUDaemon.exe1780221.192.132.10121LISTENTCPD:\Program Files\Serv-U\ServUDaemon.exe
ServUDaemon.exe1780127.0.0.143958LISTENTCPD:\Program Files\Serv-U\ServUDaemon.exe
U8SMSSrv.exe18280.0.0.05117LISTENTCPC:\WINDOWS\system32\U8SMSSrv.exe
svchost.exe20560.0.0.08080LISTENTCPC:\WINDOWS\System32\svchost.exe
iexplore.exe2792127.0.0.13721LISTENUDPC:\Program Files\Internet Explorer\iexplore.exe
iexplore.exe2792221.192.132.101372664.4.21.2580SYN_SENTTCPC:\Program Files\Internet Explorer\iexplore.exe
iexplore.exe2792221.192.132.1013722207.46.249.5680ESTABLISHEDTCPC:\Program Files\Internet Explorer\iexplore.exe
sqlagent.exe3124221.192.132.1013597221.192.132.1011433ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlagent.exe
sqlagent.exe3124221.192.132.1013593221.192.132.1011433ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlagent.exe
w3wp.exe3248221.192.132.1013728221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013727221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013725221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013711221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013703221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
有防火墙吗?SQL补丁了吗?系统补丁了吗?
用TCPVIEWer看看,这个工具可以清晰地发现链接
在尝试攻击你的系统漏洞,补丁打全了吗?
防火墙有什么记录?
防火墙采用的是win2003自带的,相关补丁都打了,可能是反弹木马,通过80端口进来的,
也可能通过SQL主入漏洞进来的。
用TCPVIEWer看看?
我先试试。
防火墙没有记录的,黑客一般都会把自己的痕迹擦干净的,
主要是怎么找到隐蔽的后门程序。
在我上面贴的进程中能看出来吗?
谢谢
用木马克星等工具扫描木马,然后清除
还有可能是你的FTPserver的漏洞,检查一下是不是最新版的Serv_U,最好不要用21默认端口
最值得怀疑是:U8SMSSrv.exe 这个东东,注意检查一下
pcanywhere的两个端口改成非默认的好,这个最好在服务器前操作,不要远程操作.
注意sqlserver的几个危险的存储过程要删掉,禁止sqlserver guest的访问权限,在服务器注册选项里选择隐藏服务器
检查启动项以及系统服务(services.msc),重点是一些没有介绍说明的服务
关闭135,139,445等危险端口
最后用微软的基准安全分析器在你服务器上跑一下,然后根据提示做进一步处理。
谢谢老兄的答复。
我用木马克星等工具扫描木马也没有找到。
U8SMSSrv.exe 这个东东是用友U8开的服务。
由于服务器在异地存放,需要远程控制进行操作。
网站可能被别人黑了,正在查木马。
今天早上接到一个安全公司的电话,告知这个事情,
说网站根目录下有个xx.txt和ix.txt果然在服务器发现这两个文件。
那个公司想让我们购买他的网络安全服务,
不知道网站是不是他黑的。
请问怎么解决?
用进程查看器查看开启的进程有:
Unknown0221.192.132.1013719221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013718221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013713221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013710221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013709221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013707221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013702221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013701221.192.132.1011433TIME_WAITTCP
Unknown0221.192.132.1013700221.192.132.1011433TIME_WAITTCP
Unknown0127.0.0.14630127.0.0.13717TIME_WAITTCP
System4221.192.132.101138LISTENUDP
System4221.192.132.101137LISTENUDP
System40.0.0.0445LISTENUDP
System4221.192.132.101139LISTENTCP
System4221.192.132.10180222.249.0.991232ESTABLISHEDTCP
System40.0.0.0445LISTENTCP
sqlservr.exe4360.0.0.01434LISTENUDPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
sqlservr.exe436221.192.132.1011433221.192.132.1013728ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
lsass.exe5400.0.0.04500LISTENUDPC:\WINDOWS\system32\lsass.exe
lsass.exe5400.0.0.0500LISTENUDPC:\WINDOWS\system32\lsass.exe
lsass.exe5400.0.0.01025LISTENTCPC:\WINDOWS\system32\lsass.exe
svchost.exe6920.0.0.0135LISTENTCPC:\WINDOWS\system32\svchost.exe
svchost.exe9000.0.0.01029LISTENUDPC:\WINDOWS\system32\svchost.exe
svchost.exe960221.192.132.1013724218.213.255.3080CLOSE_WAITTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960221.192.132.101123LISTENUDPC:\WINDOWS\System32\svchost.exe
svchost.exe960221.192.132.1013729218.213.255.3080ESTABLISHEDTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960127.0.0.13003LISTENTCPC:\WINDOWS\System32\svchost.exe
svchost.exe960127.0.0.13002LISTENTCPC:\WINDOWS\System32\svchost.exe
svchost.exe9600.0.0.01026LISTENTCPC:\WINDOWS\System32\svchost.exe
alg.exe1364127.0.0.13001LISTENTCPC:\WINDOWS\System32\alg.exe
awhost32.exe13840.0.0.05632LISTENUDPD:\Program Files\Symantec\pcAnywhere\awhost32.exe
awhost32.exe1384221.192.132.101563161.48.56.2032326ESTABLISHEDTCPD:\Program Files\Symantec\pcAnywhere\awhost32.exe
ServUDaemon.exe1780221.192.132.10121LISTENTCPD:\Program Files\Serv-U\ServUDaemon.exe
ServUDaemon.exe1780127.0.0.143958LISTENTCPD:\Program Files\Serv-U\ServUDaemon.exe
U8SMSSrv.exe18280.0.0.05117LISTENTCPC:\WINDOWS\system32\U8SMSSrv.exe
svchost.exe20560.0.0.08080LISTENTCPC:\WINDOWS\System32\svchost.exe
iexplore.exe2792127.0.0.13721LISTENUDPC:\Program Files\Internet Explorer\iexplore.exe
iexplore.exe2792221.192.132.101372664.4.21.2580SYN_SENTTCPC:\Program Files\Internet Explorer\iexplore.exe
iexplore.exe2792221.192.132.1013722207.46.249.5680ESTABLISHEDTCPC:\Program Files\Internet Explorer\iexplore.exe
sqlagent.exe3124221.192.132.1013597221.192.132.1011433ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlagent.exe
sqlagent.exe3124221.192.132.1013593221.192.132.1011433ESTABLISHEDTCPd:\PROGRA~1\MICROS~2\MSSQL\binn\sqlagent.exe
w3wp.exe3248221.192.132.1013728221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013727221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013725221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013711221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
w3wp.exe3248221.192.132.1013703221.192.132.1011433ESTABLISHEDTCPc:\windows\system32\inetsrv\w3wp.exe
有防火墙吗?SQL补丁了吗?系统补丁了吗?
用TCPVIEWer看看,这个工具可以清晰地发现链接
在尝试攻击你的系统漏洞,补丁打全了吗?
防火墙有什么记录?
防火墙采用的是win2003自带的,相关补丁都打了,可能是反弹木马,通过80端口进来的,
也可能通过SQL主入漏洞进来的。
用TCPVIEWer看看?
我先试试。
防火墙没有记录的,黑客一般都会把自己的痕迹擦干净的,
主要是怎么找到隐蔽的后门程序。
在我上面贴的进程中能看出来吗?
谢谢
用木马克星等工具扫描木马,然后清除
还有可能是你的FTPserver的漏洞,检查一下是不是最新版的Serv_U,最好不要用21默认端口
最值得怀疑是:U8SMSSrv.exe 这个东东,注意检查一下
pcanywhere的两个端口改成非默认的好,这个最好在服务器前操作,不要远程操作.
注意sqlserver的几个危险的存储过程要删掉,禁止sqlserver guest的访问权限,在服务器注册选项里选择隐藏服务器
检查启动项以及系统服务(services.msc),重点是一些没有介绍说明的服务
关闭135,139,445等危险端口
最后用微软的基准安全分析器在你服务器上跑一下,然后根据提示做进一步处理。
谢谢老兄的答复。
我用木马克星等工具扫描木马也没有找到。
U8SMSSrv.exe 这个东东是用友U8开的服务。
由于服务器在异地存放,需要远程控制进行操作。