サーバーハックの事後分析を行う方法

IIS6、SQL Server 2005、MySQL 5およびPHP 4.3がインストールされたWindows Server 2003 SP2マシンを持っています。これは本番マシンではありませんが、ドメインを介して世界中に公開されています名前。マシンでリモートデスクトップが有効になっており、2つの管理アカウントがアクティブになっています。

今朝、私はマシンがログオフされていて、ログインテキストボックスに不明なユーザーの名前が残っていることを発見しました。さらに調査したところ、2つのWindowsユーザーが作成され、アンチウイルスがアンインストールされ、.exeファイルの一部がC：ドライブにドロップされたことがわかりました。

私が知りたいのは、これが二度と起こらないようにするためにどのような手順を踏むべきか、そして進入の道を決定するために焦点を当てるべき領域です。 netstat -aをチェックして、開いているポートを確認しましたが、そこには奇妙なものは何もありません。 MySQLのデータフォルダーで不明なファイルを見つけましたが、それがエントリーポイントであると考えていますが、確信が持てません。

サーバーハックの事後分析を実行して、今後これを回避できるようにする手順に本当に感謝します。

調査後のレビュー

調査の結果、何が起こったのかわかったと思います。最初に、マシンは2008年8月から2009年10月までの期間、オンラインになりませんでした。その期間中に、セキュリティの脆弱性が発見されました MS08-067脆弱性 。 「これはリモートでコードが実行される脆弱性です。攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムをリモートで完全に制御する可能性があります。MicrosoftWindows 2000ベース、Windows XPベース、およびWindows Server 2003ベースのシステムでは、攻撃者が悪用する可能性があります。認証なしのRPCを介したこの脆弱性により、任意のコードが実行される可能性があります。」この脆弱性は、2008年10月にリリースされたKB958644セキュリティアップデートで修正されました。

当時はマシンがオフラインでこのアップデートを見逃していたため、09年10月にマシンがオンラインに戻った直後にこの脆弱性が悪用されたと思います。 バックドアプログラムとして説明されています であるbycnboy.exeプログラムへの参照が見つかりました。これにより、感染したシステムに大混乱が生じます。マシンがオンラインになった直後に、自動更新によりパッチがインストールされ、システムのリモートコントロール機能が無効になりました。バックドアが閉じられたので、攻撃者はマシン上に物理アカウントを作成し、何が起こっているのか気付くまでさらに1週間マシンを利用できたと思います。

悪意のあるコードである.exeと.dllを積極的に追跡し、セルフホスティングWebサイトとユーザーアカウントを削除した後、マシンは再び動作状態になりました。近い将来、システムを監視し、サーバーログを確認して、インシデントの再発が発生しているかどうかを判断します。

提供された情報と手順をありがとうございます。