服务器被入侵一个月
说来惭愧,服务器被整整入侵了一个月而我竟然没有发现!
今天中午去和nono吃饭,送相片顺便问问她们单位买空间的事。后来发现她手里竟然有网站的源程序,那就省了清理木马和FTP权限了。到家后nono把程序传给我,我看了一眼just it,于是想上传到服务器上测试一下。我有个不太好的习惯,因为服务器的带宽比较宽裕,就在服务器上装了QQ,方便别人传一些有用的文件。用FTP上传比较慢,我就让nono再给我传一次,我在服务器上登陆QQ,登陆的时候发现了一个没见过的QQ号592xxx。当时心里嗝楞一下,心想坏了,有人上过服务器。于是马上做了一番检查。
首先是杀毒,没结果,应该是利用什么漏洞进来的。查看一下QQ目录下592xxx这个文件夹的修改时间,是今天中午12:45,还好是今天的事故。赶紧全盘扫一下今天改动过的文件,尤其是中午12点之后的(因为中午是12点出的门)。结果发现修改的文件仅仅集中在592xxx文件夹而已,难道他只是上来登陆个QQ?因为没找到更有价值的信息,而且日志也被删了,无从判断对方是如何进来的。于是在windows自带的防火墙限制了端口,又检查了帐户。发现guest帐号具有管理员权限,又把没用的帐号全禁用了,关闭了一些服务,对各文件夹也做了比较严格的权限指定(早干嘛来着?)。总之是对服务器的安全设置做了一系列的处理,等忙完了,就该找这个人了。
把592xxx文件夹打包下载下来,用聊天记录查看聊天记录,结果吓我一跳,聊天记录是2月1日,2月2日,3月1日三天,而2月1日2日两天的内容比较多,今天只是接收了几句话没有说话。也就是说2月1日就已经入侵服务器了,而这中间又光顾了几次我不知道,今天不知道出于什么原因又上了次QQ而且忘了删除号码,这才让我发现。翻看此人的聊天内容、接收的图片以及在滔滔、交友上的信息,得知此人1988年生,黑龙江省哈尔滨人,懂得C++,以入侵服务器窃取资料返销给机主、贩卖木马、制作网站为生,拥有大量各行银行卡,而且收入颇菲。
如果有此人更详细的资料和犯罪事实,我一定会考虑向公安机关报案,从他的收入来看,够坐几年牢的。
不过这次是个很好的教训,对我来说提高自己管理服务器的经验,搞好服务器的安全才是最重要的。