Вопросы Теги

Попытка взлома Windows Server 2019 [дубликат]

У меня есть Windows Server 2019 VPS для размещения веб-сайтов. В нем все последние обновления. Но как-то есть попытка (частичного) взлома. Я впервые заметил это по SMS, которое я получил из-за высокой загрузки ЦП сервера регистрации Microsoft (regsvr32.exe). С помощью этого сайта и Process Explores выяснилось, что причиной была библиотека DLL в папке ProgramDAta .

Там я нашел zip с названием set.zip . Содержит следующие 5 файлов. comhij.dll , let.exe , rn.bat , x.mof и xg.dll . Кажется, что файл .bat был запущен и запускал скрипт. Но это почему-то не удалось, возможно, Защитник Windows или что-то еще блокировало его, вызывая высокую загрузку процессора. Я знаю это, потому что последние строки в .bat заставляют его удалять себя. И я не смог найти никаких изменений, которые хотел внести сценарий.

Я скопировал zip-архив на свой компьютер, и Norton 360 сразу же идентифицировал let.exe как Hacktool, comhij.dll как Trojan Horse и xg.dll как Trojan.Get.MTB.

На сервере активен брандмауэр Windows, а на уровне провайдера TransIP также активен брандмауэр.

Мне удалось выяснить, что set.zip был создан одним из пулов приложений (на котором размещена DotNetNuke CMS , если это имеет значение) без доступа к FTP.

Итак, мой вопрос в том, как узнать, как это произошло, и как я могу предотвратить это в будущем? И как AppPool может записать файл на диск вне его корневого каталога? По запросу я могу опубликовать весь сценарий .bat.

-1
задан 9 October 2020 в 16:01
1 ответ

  • Как это произошло?
    Ваш веб-сайт (независимо от его содержимого) был взломан, кто-то использовал его для загрузки и запуска троянской программы на ваш сервер.То, какименно он был взломан, зависит от самого сайта, это может быть ошибка, уязвимость, слишком простой пароль... что угодно, на самом деле.

  • Как AppPool может записать файл на диск вне своего корневого каталога?
    Это зависит от учетной записи пользователя, под которой работает пул приложений, и от разрешений файловой системы. Кроме того, даже если учетная запись пользователя на самом деле не имеет разрешений на запись файлов там, где она была, могла быть задействована эскалация привилегий.

  • Как я могу предотвратить это в будущем?
    Помимо ужесточения вашей безопасности, будьте осторожны с ошибками или уязвимостями на вашем веб-сайте; если вы используете веб-приложение, созданное кем-то другим, обязательно проверьте его известные уязвимости и примените также егообновления.

3
ответ дан 9 October 2020 в 13:16

Теги

Похожие вопросы