如何进行服务器黑客验尸

我有一台装有IIS6，SQL Server 2005，MySQL 5和PHP 4.3的Windows Server 2003 SP2计算机。这不是生产机器，而是通过域名公开给世界的。在计算机上启用了远程桌面，并且该计算机上有两个管理帐户处于活动状态。

今天早上，我发现该计算机已注销，并且登录文本框中仍然有一个未知的用户名。经过进一步调查，我发现已经创建了两个Windows用户，已卸载了防病毒软件，并将少量.exe文件放入了C：驱动器。

我想知道的是，我应该采取什么步骤来确保这种情况不再发生，并且我应该着重于确定进入途径的领域。我已经检查过netstat -a来查看哪些端口是打开的，那里什么都没有出现。我确实在MySQL的数据文件夹中找到了未知文件，我认为这可能是切入点，但不确定。

我非常感谢对服务器hack进行良好的事后剖析的步骤，以便将来避免这种情况。

调查后审查

经过一番调查，我想我发现了发生了什么。首先，在08年8月至09年10月期间，该机器未处于联机状态。在此期间，发现了一个安全漏洞MS08-067漏洞。“这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。在基于Microsoft Windows 2000，Windows XP和Windows Server 2003的系统上，攻击者可以利用这种未经身份验证的RPC漏洞，可以运行任意代码。” 此漏洞已通过2008年10月发布的KB958644安全更新修复。

因为该计算机当时处于脱机状态，并且错过了此更新，所以我认为该漏洞在该计算机于09年10月重新联机后很快就被利用。我发现对bycnboy.exe程序的引用已被描述为后门程序，该程序随后在受感染的系统上造成了严重破坏。机器联机后不久，自动更新安装了该修补程序，从而关闭了对该系统进行远程控制的功能。由于后门现已关闭，我相信攻击者随后在计算机上创建了物理帐户，并能够再使用一周，直到我注意到发生了什么。

在积极地购买了恶意代码，.exes和.dlls，并删除了自托管网站和用户帐户后，该计算机现在又恢复了工作状态。在不久的将来，我将监视系统并查看服务器日志，以确定事件是否重复发生。

感谢您提供的信息和步骤。

进行事后剖析本身就是一种妖术。每次都有一点不同，因为实际上没有两个闯入是相同的。考虑到这一点，下面是我建议的过程的基本概述，并针对您的情况提供了一些具体说明：

1. 物理断开计算机与网络的连接。（真的。现在就做。）
2. 可选步骤：制作硬盘驱动器的二进制映像副本，以备将来使用。
3. 将所有日志文件，重要数据等的副本复制到可移动硬盘驱动器上
   • （可选）复制您找到的所有“黑客工具”
4. 开始实际的验尸。在您的情况下：
   • 注意任何新的或丢失的用户帐户。查看其主文件夹是否包含“有趣”的内容。
   • 注意任何新的或缺少的程序/二进制文件/数据文件。
   • 首先检查MySQL日志-查找任何“异常”
   • 检查其余的服务器日志。查看您是否可以找到正在创建的新用户，他们登录的地址等。
   • 寻找数据损坏或盗窃的证据
5. 当发现问题的原因时，请注意如何避免再次发生该问题。
6. 擦净服务器：格式化并重新安装所有内容，恢复数据，并用＃5上的笔记插入原始孔。

如果要涉及执法，通常执行步骤2。您执行步骤3，以便可以在重建服务器后查看信息，而不必阅读在步骤2中制作的映像副本。

第4步的详细程度取决于您的目标：仅仅调查漏洞​​与跟踪谁偷走了一些有价值的数据是一种不同的调查方法：）

步骤6是恕我直言的关键。您无需“修复”受损的主机：您可以擦除它并从已知的良好状态重新开始。这样可以确保您不会错过定时炸弹上留下的一些讨厌的东西。

这绝不是完整的验尸大纲。我将其标记为社区Wiki，因为我一直在寻求对流程的改进-我不经常使用它:-)