У меня есть Windows Server 2019 VPS для размещения веб-сайтов. В нем все последние обновления. Но как-то есть попытка (частичного) взлома. Я впервые заметил это по SMS, которое я получил из-за высокой загрузки ЦП сервера регистрации Microsoft (regsvr32.exe). С помощью этого сайта и Process Explores выяснилось, что причиной была библиотека DLL в папке ProgramDAta
.
Там я нашел zip с названием set.zip
. Содержит следующие 5 файлов. comhij.dll
, let.exe
, rn.bat
, x.mof
и xg.dll
. Кажется, что файл .bat был запущен и запускал скрипт. Но это почему-то не удалось, возможно, Защитник Windows или что-то еще блокировало его, вызывая высокую загрузку процессора. Я знаю это, потому что последние строки в .bat заставляют его удалять себя. И я не смог найти никаких изменений, которые хотел внести сценарий.
Я скопировал zip-архив на свой компьютер, и Norton 360 сразу же идентифицировал let.exe как Hacktool, comhij.dll как Trojan Horse и xg.dll как Trojan.Get.MTB.
На сервере активен брандмауэр Windows, а на уровне провайдера TransIP также активен брандмауэр.
Мне удалось выяснить, что set.zip
был создан одним из пулов приложений (на котором размещена DotNetNuke CMS , если это имеет значение) без доступа к FTP.
Итак, мой вопрос в том, как узнать, как это произошло, и как я могу предотвратить это в будущем? И как AppPool может записать файл на диск вне его корневого каталога? По запросу я могу опубликовать весь сценарий .bat.
Как это произошло?
Ваш веб-сайт (независимо от его содержимого) был взломан, кто-то использовал его для загрузки и запуска троянской программы на ваш сервер.То, какименно он был взломан, зависит от самого сайта, это может быть ошибка, уязвимость, слишком простой пароль... что угодно, на самом деле.
Как AppPool может записать файл на диск вне своего корневого каталога?
Это зависит от учетной записи пользователя, под которой работает пул приложений, и от разрешений файловой системы. Кроме того, даже если учетная запись пользователя на самом деле не имеет разрешений на запись файлов там, где она была, могла быть задействована эскалация привилегий.
Как я могу предотвратить это в будущем?
Помимо ужесточения вашей безопасности, будьте осторожны с ошибками или уязвимостями на вашем веб-сайте; если вы используете веб-приложение, созданное кем-то другим, обязательно проверьте его известные уязвимости и примените также егообновления.