Ich habe einen Windows Server 2003 SP2-Computer mit IIS6, SQL Server 2005, MySQL 5 und PHP 4.3 installiert. Dies ist keine Produktionsmaschine, aber sie ist der Welt über einen Domainnamen ausgesetzt. Auf dem Computer ist der Remotedesktop aktiviert und zwei Administratorkonten sind auf dem Computer aktiv.
Heute Morgen stellte ich fest, dass der Computer mit einem unbekannten Benutzernamen noch im Anmeldetextfeld abgemeldet war. Bei weiteren Untersuchungen habe ich festgestellt, dass zwei Windows-Benutzer erstellt wurden, Anti-Virus deinstalliert wurde und einige .exe-Dateien auf dem Laufwerk C: abgelegt wurden.
Was ich wissen möchte, ist, welche Schritte ich unternehmen muss, um sicherzustellen, dass dies nicht wieder geschieht, und Bereiche, auf die ich mich konzentrieren sollte, um die Einreisemöglichkeiten zu bestimmen. Ich habe bereits netstat -a überprüft, um festzustellen, welche Ports geöffnet sind, und nichts erscheint dort seltsam. Ich habe im Datenordner für MySQL unbekannte Dateien gefunden, von denen ich denke, dass sie der Einstiegspunkt waren, aber ich bin mir nicht sicher.
Ich würde die Schritte zur Durchführung eines guten Post-Mortem eines Server-Hack wirklich begrüßen, damit ich dies in Zukunft vermeiden kann.
Überprüfung nach der Untersuchung
Nach einigen Nachforschungen habe ich herausgefunden, was passiert ist. Erstens war die Maschine im Zeitraum von August '08 bis Oktober '09 nicht online. In diesem Zeitraum wurde eine Sicherheitsanfälligkeit entdeckt, die Sicherheitsanfälligkeit MS08-067 . "Dies ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über ein betroffenes System aus der Ferne erlangen. Auf Microsoft Windows 2000-, Windows XP- und Windows Server 2003-Systemen kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen." Diese Sicherheitsanfälligkeit über RPC ohne Authentifizierung kann beliebigen Code ausführen. " Diese Sicherheitsanfälligkeit wurde mit dem Sicherheitsupdate KB958644 behoben, das im Oktober 2008 veröffentlicht wurde.
Da der Computer zu diesem Zeitpunkt offline war und dieses Update verpasst hat, wurde diese Sicherheitsanfälligkeit meines Erachtens bald ausgenutzt, nachdem der Computer im Oktober '09 wieder online ging. Ich fand Hinweise auf ein bycnboy.exe-Programm, das als Backdoor-Programm beschrieben wurde, das dann viel Chaos auf einem infizierten System anrichtet. Kurz nachdem die Maschine online war, installierten automatische Updates den Patch, der die Fernsteuerung des Systems unmöglich machte. Da die Hintertür nun geschlossen war, hat der Angreifer vermutlich physische Konten auf dem Computer erstellt und konnte den Computer eine weitere Woche lang nutzen, bis ich bemerkte, was passierte.
Nachdem der böswillige Code, die EXE- und DLL-Dateien, entfernt wurden und sich selbst hostende Websites und Benutzerkonten entfernt wurden, befindet sich der Computer wieder in einem funktionsfähigen Zustand. In naher Zukunft werde ich das System überwachen und die Serverprotokolle überprüfen, um festzustellen, ob sich der Vorfall wiederholt.
Vielen Dank für die bereitgestellten Informationen und Schritte.