前言
近日360主机卫士监测到部分客户主机流量异常,并且接到客户通知服务器压力莫名增大,经过主机卫士安全研究员的详细调查分析之后,真相慢慢浮出水面。
如何发现
经过用户许可,我们连接上服务器以后,发现服务器自动启动了一个bat批处理脚本
里面的内容是:
netsh interface portproxy show all
返回结果如图:
360主机卫士会定时在凌晨自动扫描客户的服务器,并且自动清理可以清理的木马,理论上是不会出现被入侵的情况,但是如果服务器出现类似于这种可疑的脚本或者命令,也应该提高警惕,查清来源。
这条命令的核心是netsh,那么netsh到底是什么东西呢?
NetSH (Network Shell) 是windows系统本身提供的功能强大的网络配置命令行工具。
然而正好因为netsh的功能太强大了,并且是windows系统本身自带的命令行工具,所以才导致了所有杀软均不会报毒和拦截,并且可以实现其他神奇的功能。
当我们运行netstat -an命令的时候可以看到客户主机端口多了很多很多端口,从10001-60000的端口几乎都开了,然而当我们在搜索引擎搜索这个网站的时候,我们惊呆了!!!
其他的端口均被搜索引擎收录并且排名靠前,这对站长来说无疑是一个莫大的打击。
想要解决问题,就一定得先了解这是一个什么样的原理。
如果我们把文章开头的bat批处理命令和netstat -an命令显示很多端口联系起来,似乎这件事情就很容易说的通了,那就是:“黑客利用netsh把服务器大于10000的所有端口,全部转发到了恶意的ip上,以至于搜索引擎在收录时可以收录到恶意网站的内容”。
随后我们在搜索引擎上扩大了搜索范围,发现很多网站均已中招,尤其是排名靠前的网站中招的非常之多。
如何检测是否中招
检测网站是否中招有很多种,这里列举三种:
1、使用netsh查看
打开cmd命令行执行
netsh interface portproxy show all
如果现实有很多端口,基本可以确定为存在风险。
比如:
2、搜索引擎搜索:
Site:zhuji.360.cn:10010
(将zhuji.360.cn换成自己的域名,如果存在搜索结果,那么大多为中招,可能服务器已经被入侵)
比如:
3、执行cmd命令:
Netstat -an
如果大于10000的端口开放了很多,那么就有必要深度的检查一下啦。
已经中招如何解决
可以直接使用netsh的命令删除掉端口转发即可修复:
netsh interface portproxy delete v4tov4 listenport=10010
其中红色的10010为被转发的端口,如果是多个端口可以打开cmd命令行执行如下命令:
for /L %%i in (10000,1,65535) do c:\windows\system32\netsh.exe interface portproxy delete v4tov4 listenport=%%i
(这个命令的意思是将所有大于10000的端口转发删除掉,注意,在windows7以上系统需要在管理员权限下运行)
同时,在发现这种情况下,首先要立即修改自己的密码,这些密码包含系统密码,FTP密码,网站后台,数据库、vnc等这类密码。同时对网站进行一次安全检测。
如何预防
1、 安装主机卫士,对web攻击进行防护,并定期扫描web网站后门。
2、 定期对网站进行漏洞的扫描。可以加入webscan(http://webscan.360.cn) 来进行漏洞扫描。发现漏洞,及时修复。
3、 设置一个强壮的密码(远程连接、FTP、网站后台、数据库(mysql,sql server,oracle)vnc等密码)。
4、 及时更新系统补丁。
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
