V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
touzi
V2EX  ›  服务器

公司 3 台外网 Windows 服务器被黑

  •  
  •   touzi · 2014-09-15 20:39:08 +08:00 · 5218 次点击
    这是一个创建于 3721 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今早来公司,无意中发现远程桌面无法复制粘贴,仔细一看进程,多了一个傲游浏览器进程,发现不对.逐步寻找,发现所有关于安全的程序都被杀了,无法再次启动.随即通告网管,结果得到答案是从新安装系统.当时直接崩溃,马上检查数据库服务器发现内网服务器没问题.继而下载360杀毒,直接给查杀出来了,但悲剧的是重启服务器病毒依然存在.唉...

    现在只能唉声叹气,求靠谱杀软,应用服务器重装系统还是挺悲剧的.
    36 条回复    2015-09-19 15:50:51 +08:00
    seki
        1
    seki  
       2014-09-15 20:47:28 +08:00
    用 360 查服务器病毒,醉了

    全盘格式化,加高防火墙,堵掉所有端口,打好各类补丁才是正道。万一有一些没有进入病毒库的病毒你们还会中招的
    alex321
        2
    alex321  
       2014-09-15 20:56:32 +08:00
    给机会你体验手工杀毒的快感啊。
    zro
        3
    zro  
       2014-09-15 21:00:39 +08:00
    神马网管,居然用360,Orz
    xdeng
        4
    xdeng  
       2014-09-15 21:05:09 +08:00
    @zro 那是之后


    之前为什么不用360 ?
    can
        5
    can  
       2014-09-15 21:12:41 +08:00
    人都死了,医术再高明的的医生也无能为力啊
    omi4399
        6
    omi4399  
       2014-09-15 21:15:10 +08:00
    重装吧,什么杀软也白搭了
    linchanx
        7
    linchanx  
       2014-09-15 21:16:45 +08:00
    连接外网的服务器前面一定要挡一台防火墙,切记。
    7654
        8
    7654  
       2014-09-15 21:18:45 +08:00
    格盘,重装系统是最稳妥,谁知道有没有潜伏的病毒某天悄悄发作
    aa45942
        9
    aa45942  
       2014-09-15 21:21:57 +08:00
    1.重启进不带网络的安全模式
    2.找启动项,可疑的k掉(开始,运行,MSConfig)
    3.从U盘拷贝一个杀软到服务器
    4.运行杀软前看看注册表里可执行程序后缀是不是被绑了多余的东西,是的话先找可疑进程k掉,改注册表,重启
    5.装杀软,扫全盘
    6.重启
    7.毒还在的话,要么你的杀软不给力没清理干净,要么服务器有漏洞

    ============
    其实更方便的是拿被检测到的病毒的文件名做关键字去百度或者谷歌一下,99%有解决的办法
    thinkxen
        10
    thinkxen  
       2014-09-15 21:38:28 +08:00 via Android
    话说安全狗还是很不错的,指定ip登录。
    ky1e
        11
    ky1e  
       2014-09-15 21:48:55 +08:00
    win2008r2么?什么系统?
    zro
        12
    zro  
       2014-09-15 21:49:16 +08:00
    话说,把重要数据备份出来再格盘重装系统吧,这样盲杀病毒很耗时,而且也不一定能弄干净,而且装完系统最好是把补丁更新给打上
    touzi
        13
    touzi  
    OP
       2014-09-15 22:13:28 +08:00
    @zro 哥你告诉我用什么,现在还在修复...
    Admstor
        14
    Admstor  
       2014-09-15 22:14:29 +08:00
    看到用360也是醉了...
    touzi
        15
    touzi  
    OP
       2014-09-15 22:15:26 +08:00
    @zro 话说打补丁,我是听杀软的还是听微软的(微软自带update一直开着.)
    touzi
        16
    touzi  
    OP
       2014-09-15 22:16:12 +08:00
    @Admstor 亡羊补牢,什么杀软最合适
    zro
        17
    zro  
       2014-09-15 22:17:06 +08:00
    @touzi ESET,AVG,或者微软自己的MSE,希望能帮到你
    harryert
        18
    harryert  
       2014-09-15 22:19:56 +08:00
    弄个pfsense放到windows服务器前面,然后端口映射吧。

    现有服务器,PE启动杀毒把。。。
    zro
        19
    zro  
       2014-09-15 22:22:13 +08:00
    @touzi 微软自带的就行了,国产的补丁提示不怎么靠谱,当年360还自带一款伪IE补丁
    ScotGu
        20
    ScotGu  
       2014-09-15 22:52:53 +08:00
    服务器用 360 这个创意太赞了。。
    touzi
        21
    touzi  
    OP
       2014-09-15 23:06:51 +08:00
    @ScotGu 那你装的是什么?
    Bakemono
        22
    Bakemono  
       2014-09-15 23:13:04 +08:00
    不要相信 ls 的 360 黑们。
    服务器安装 360 很多提权的 exp 还有很多马都不能用了,完全是渗透的一大阻力…
    ipconfiger
        23
    ipconfiger  
       2014-09-15 23:21:57 +08:00
    一般来说别在服务器上跑非服务的应用程序,不必要的端口一律禁用掉,把ping也关掉,换个高强度的登录密码,应该可以挡掉很大部分的入侵。前段时间入了个linode的vps跑shadowsocket,当时偷了个懒,设置好shadowsocket就没继续做安全设置就放那里了,结果当月就被人当了肉鸡刷了30美刀的流量。回头立马配置了一下iptables,关端口,禁用密码登录,立马就清净了。windows服务器一般来说做完关端口,关不必要的服务,别再服务器上挂QQ,开浏览器看网页,基本上没啥可以中毒的机会吧
    ScotGu
        24
    ScotGu  
       2014-09-15 23:22:04 +08:00
    @touzi 装什么也不装360 。。。 我承认我就是360黑。
    360的负面新闻和所作所为这个圈子里的人就不用多说了吧。

    服务器前放个防火墙很容易吧。。
    HackerOO7
        25
    HackerOO7  
       2014-09-16 00:19:37 +08:00 via Android
    应该要有人负责安全这块吧啊,好吧,360……
    hjc4869
        26
    hjc4869  
       2014-09-16 09:59:28 +08:00 via iPhone
    这种水平还是不要用windows server了,老老实实linux在前面挡着吧,别把windows暴露在外面
    Admstor
        27
    Admstor  
       2014-09-16 10:04:48 +08:00
    @touzi
    服务器用杀毒软件本身就是一个伪命题.

    服务器理论上为什么会需要杀毒软件?除非你要帮客户杀毒,否则任何来自外部的文件,都不应当具有运行的权限,那么是不是病毒又有什么关系了?
    进一步说,如果外部文件可以运行并感染系统,当然是要首先排除掉让外部文件运行的可能

    竟然以为用个杀软就可以让服务器安全,这种思维才是最让人醉了

    我虽然是360黑,不过你非要用360,麻烦也不要用什么360安全卫士这种东西好吗,人家360自己都没说这个适合服务器用
    http://webscan.360.cn/ 来自360的网页安全扫描工具,可以初步的帮你判断你的网站是否存在漏洞
    http://jk.cloud.360.cn 来自360的监控服务器,可以不必自己搭建cacti或者zaibbx之类

    另外小白就还是用安全狗吧
    chinafeng
        28
    chinafeng  
       2014-09-16 11:45:24 +08:00
    用360,也是醉了...

    分析下日志,就还知道该清理哪里了
    aa45942
        29
    aa45942  
       2014-09-16 13:15:36 +08:00
    @Admstor 你得考虑到服务器被黑的可能,没杀软,被黑了,也就有了被执行外部程序的可能。其实相对杀软,一个好的防火墙才是重中之重,好的防火墙能挡掉绝大部分骚扰
    xseven007
        30
    xseven007  
       2014-09-16 21:30:16 +08:00
    服务器遭到入侵,查日志肯定是必须的啊..接外网必须要有硬件墙啊,本机可以再配个SEP
    zy65334
        31
    zy65334  
       2014-09-17 15:57:30 +08:00
    没有百分之百的安全,只能通过手段降低安全风险。昨天才看到有人在出windows 提权 0day 包含XP 2003 7 2008 x32 x64通杀。
    zy65334
        32
    zy65334  
       2014-09-17 15:58:19 +08:00
    一般被入侵提权到管理员权限了的话,我们给客户的建议就是重装系统。
    touzi
        33
    touzi  
    OP
       2014-09-17 16:51:35 +08:00
    @zy65334 已经在重装系统了,网管不管,只能靠自己了.
    mackyzhan
        34
    mackyzhan  
       2014-11-28 22:36:45 +08:00 via Android
    用360?就这水平还管理什么服务器呀
    touzi
        35
    touzi  
    OP
       2014-11-28 23:11:11 +08:00
    @mackyzhan 那怎么办,不格机子的办法。
    Pepsigold
        36
    Pepsigold  
       2015-09-19 15:50:51 +08:00 via Android
    我的服务器也没有杀软,也不懂安全,求个大牛指导下。帮忙做下隐患分析呗!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1126 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:40 · PVG 07:40 · LAX 15:40 · JFK 18:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.