2008
年
1
月
14
日
,星期一中午
13
:
30
,我们的网络管理员正在线上(用远程桌面连接到
213
服务器),发现上面另外有一个用户上来了,发现这不是我们自己的用户。我们意识到有黑客攻进了我们的系统,于是马上把它踢了下去,用管理工具的用户管理直接把他的用户给删除掉了,同时检查日志发现他是要开启我们的
IIS
服务,架设一个
ARP
攻击服务器,而这个
ARP
服务直接指向了机房另外一台服务器
143
,我们随即备份了相关的情况,并删除了他的
IIS
服务以及遗留的文件。修改了管理员密码,接着用安全卫士
360
检查系统发现没有异常。当晚我们一直值班到
11
:
30
分,没有发现他的再次入侵。
到
2008
年
1
月
15
日
,星期二早上
9
:
00
上班,检查日志发现
00
:
30
以前日志被删除了,我们意识到在黑客又一次入侵了我们的系统,检查发现黑客在系统上安装一个软件叫《
QQ
第六感
2.0
》,于是删除之,检查用户发现
guest
用户被克隆成了管理员帐号(以前管理员帐号是有
32
位
MD5
密码并被禁用的),于是我们用另一个不再任何组的废弃账户
SQL Debuger
(以前的账户,不再任何组,禁用、有密码)克隆掉了
guest
账户。同时通过安全卫士
360
发现了他的遗留痕迹,发现他上过一下网站:(
http://jjzjs.ys168.com
和
http://jjzjs.ys168.com
),清理之,同时用
IE
清理了缓存文件。接着,修改了管理员密码。
到
2008
年
1
月
15
日
,星期二早上
11
:
00
远程系统再次发生意外错误,自动重启就好了,可是我们怎么检查都没有在发现异常。无法之下,我们求助了服务器托管商,中午刚到托管商那边(
15
:
30
),发现系统再次意外错误重启,而重启后我们怎么都上不了,经机房检查发现管理员密码被改掉了,于是请机房帮我们破掉了管理员密码,并修改了远程桌面的端口,再次仔细查杀木马发现在
scrss.exe
中注入了
ARP
木马,清理之。同时机房联系了
143
的服务器(
UNIX
服务器)所有者公司,发现
143
系统已经被攻击,
root
密码被改,机房帮忙重装之。再检查我们的机器没什么问题,于是晚上值班到
24
:
00
,没有发现异常。
到
2008
年
1
月
16
日
,星期三上班,发现基本正常没有异常现象,同时发现日志较长,于是在下班时清除了日志。一直值班到
17
日(周四)早上
04
:
30
,隔
5
分钟刷新一次日志,发现系统在
17
日
00
:
00
左右发生了意外错误一次,自动热重启就好了,没有发生任何入侵的数据流与异常记录。到
17
日
03
:
00
发现已经没什么人访问了,于是重启了服务器,再次全面检查,没有异常,启动杀毒软件做了一次全盘扫描。
到 2008 年 1 月 17 日 ,星期四早上 11 : 35 开始,系统开始接连两次出现蓝屏异常,检查系统发现系统是意外重启,联系机房,机房的办法是取消系统的发生错误自动重启选项,一直到目前。
现在怎么办啊?怎么不老是重启呢?
后话:
很抱歉这个问题早解决了,当忘了告诉朋友们,后来查出来是论坛由上传漏洞,以解决。