上一篇
下一篇
又一台装win2003的服务器被搞
发布:mzjj 日期:2006年10月6日
都无语了,真以为我是“妓女开报社-欢迎来稿(搞)”!
今年以来,不同的四台装有win2003的服务器陆续被搞,先是我自己的36号机,然后是公司的8号,5号,现在新上的16号机也被入侵了,第一台被入侵那时对2003 server的安全设置实在了解有限,那一次被入侵后知道了要设置虚拟主机的FSO权限、卸载不安全的组件等。第二次是公司的5号机,那台机子一直是老总在用,上面放了他个网站,我没管,被获取了超级用户权限,老总喊我清时把被加的超级用户删除时出错了,重装系统,通过第一次被入侵后掌握的方法做了次安全设置,一直用到现在相安无事。第三次和第二次的情况一样,也是没做什么安全设置,被人加了木马,发现后赶紧检查,还没被获取超级用户权限,估计是因为远程端口从一开始就被老总改了,不然死翘翘。。现在被搞的那台服务器,我安全权限也设置了,不安全组件也删了,基本上是按照以前配置win2003 server的方法设置的,满以为很安全了,前几天搞私服的晨胖子就告诉我说在我服务器上给他开的论坛空间里被人放了木马,当时不以为然,喊他从FTP上清了就是,清了不久,又被人在网页里加了木马,刚好他们论坛是我前不久帮他们装的discuz 5.0版,10月1号出了补丁,在QQ上他提到了论坛有新补丁了,那时我就以为他们空间上被人放木马是因为论坛没打补丁,程序有漏洞造成的,赶紧给打上补丁,把木马清了。。而且晨胖子又加了那个挂木马的人的QQ和他聊了,那人说是因为他们的FTP密码被他猜出来后挂上的木马,说FTP密码只要在15位以内的就能猜出,对此晨胖子深信不疑,还说可以和我打赌,当时我就说打赌就打赌,因为我觉得不大可能,我FTP服务端可是装的最新6.3版的serv-u,哪那么神奇,一般FTP密码基本上没有15位那么长,如果那么说来的话,全国不是有一大半的虚拟主机用户全死完!当时也懒得和他争,就让他把FTP密码改长当时也没管了。。谁晓得今晚一上QQ,晨胖子就给我发来一HTM页,说他们空间上又被挂了这么一个页,上面写着硕大的一个“Hack by xxxxx”,下面还留有“此页若不保留一星期,服务器所有数据都删除,后果自负”字样,看到了后马上知道情况不秒,远程服务器一检查,每个站点目录下都被加了一页,这下知道这台服务器已经被人彻底脱光衣服~查看用户,多了admin$和jiaozhu$两个用户,查看这两个用户所属的用户组,什么用户组都不是,删也删不掉,只有先把禁用了!看系统进程,没有发现什么异常,查看服务也没多出什么服务来,后来仔细检查了遍,发现服务器上被人放了灰鸽子,都中灰鸽子了,别说15位的FTP密码,150位的又有何用。通过这次服务器被入侵,检查到最后,发现我以前做的安全设置不够,第一没删除默认共享,第二自己太自信了,总以前以前设置的就很安全了,服务器也不经常上去检查,而且总以为这台服务器上网站都没什么访问量,别人不会来搞的,很多安全工作都没做,就连管理员密码都是弱口令,装的一些软件的端口也没封……
哎,一次次的被强奸严重打击了我的自信心,可被强奸了,别人还放下一句话:“保持你那姿势别动,一个星期姿势不许变,大爷随时回来爽,变的话我杀你全家,后果自负!”这世道,世风日下啊~~
呵呵,他妈的,真把我当妓女搞了~或者套用疯狂的石头里保卫科长的一句话:以为是公共厕所,想来就来,想走就走……”
把被加的木马什么清完,重做安全设置。下面是这次被入侵而以前被入侵时没有遇到的情况:
1.灰鸽子的清除
2.关闭系统默认共享
3.第一次遇到user$这样的用户,也就是无所谓的隐藏超级用户
4.删除隐藏用户
怕以后会用到,方便查找,将在后面单独发文把解决上面问题的有效方法贴出来。
今年以来,不同的四台装有win2003的服务器陆续被搞,先是我自己的36号机,然后是公司的8号,5号,现在新上的16号机也被入侵了,第一台被入侵那时对2003 server的安全设置实在了解有限,那一次被入侵后知道了要设置虚拟主机的FSO权限、卸载不安全的组件等。第二次是公司的5号机,那台机子一直是老总在用,上面放了他个网站,我没管,被获取了超级用户权限,老总喊我清时把被加的超级用户删除时出错了,重装系统,通过第一次被入侵后掌握的方法做了次安全设置,一直用到现在相安无事。第三次和第二次的情况一样,也是没做什么安全设置,被人加了木马,发现后赶紧检查,还没被获取超级用户权限,估计是因为远程端口从一开始就被老总改了,不然死翘翘。。现在被搞的那台服务器,我安全权限也设置了,不安全组件也删了,基本上是按照以前配置win2003 server的方法设置的,满以为很安全了,前几天搞私服的晨胖子就告诉我说在我服务器上给他开的论坛空间里被人放了木马,当时不以为然,喊他从FTP上清了就是,清了不久,又被人在网页里加了木马,刚好他们论坛是我前不久帮他们装的discuz 5.0版,10月1号出了补丁,在QQ上他提到了论坛有新补丁了,那时我就以为他们空间上被人放木马是因为论坛没打补丁,程序有漏洞造成的,赶紧给打上补丁,把木马清了。。而且晨胖子又加了那个挂木马的人的QQ和他聊了,那人说是因为他们的FTP密码被他猜出来后挂上的木马,说FTP密码只要在15位以内的就能猜出,对此晨胖子深信不疑,还说可以和我打赌,当时我就说打赌就打赌,因为我觉得不大可能,我FTP服务端可是装的最新6.3版的serv-u,哪那么神奇,一般FTP密码基本上没有15位那么长,如果那么说来的话,全国不是有一大半的虚拟主机用户全死完!当时也懒得和他争,就让他把FTP密码改长当时也没管了。。谁晓得今晚一上QQ,晨胖子就给我发来一HTM页,说他们空间上又被挂了这么一个页,上面写着硕大的一个“Hack by xxxxx”,下面还留有“此页若不保留一星期,服务器所有数据都删除,后果自负”字样,看到了后马上知道情况不秒,远程服务器一检查,每个站点目录下都被加了一页,这下知道这台服务器已经被人彻底脱光衣服~查看用户,多了admin$和jiaozhu$两个用户,查看这两个用户所属的用户组,什么用户组都不是,删也删不掉,只有先把禁用了!看系统进程,没有发现什么异常,查看服务也没多出什么服务来,后来仔细检查了遍,发现服务器上被人放了灰鸽子,都中灰鸽子了,别说15位的FTP密码,150位的又有何用。通过这次服务器被入侵,检查到最后,发现我以前做的安全设置不够,第一没删除默认共享,第二自己太自信了,总以前以前设置的就很安全了,服务器也不经常上去检查,而且总以为这台服务器上网站都没什么访问量,别人不会来搞的,很多安全工作都没做,就连管理员密码都是弱口令,装的一些软件的端口也没封……
哎,一次次的被强奸严重打击了我的自信心,可被强奸了,别人还放下一句话:“保持你那姿势别动,一个星期姿势不许变,大爷随时回来爽,变的话我杀你全家,后果自负!”这世道,世风日下啊~~
呵呵,他妈的,真把我当妓女搞了~或者套用疯狂的石头里保卫科长的一句话:以为是公共厕所,想来就来,想走就走……”
把被加的木马什么清完,重做安全设置。下面是这次被入侵而以前被入侵时没有遇到的情况:
1.灰鸽子的清除
2.关闭系统默认共享
3.第一次遇到user$这样的用户,也就是无所谓的隐藏超级用户
4.删除隐藏用户
怕以后会用到,方便查找,将在后面单独发文把解决上面问题的有效方法贴出来。
Tags: win2003 
引用通告: 点击获取引用地址
相关文章:windows 2003服务器防止海洋木马的安全设置 (2006-8-13 16:35:1)
php4.3.11在win2003下的安装 (2005-10-19 21:47:30)
评论: 0 | 引用: 0 | 浏览: