Ho installato una macchina Windows Server 2003 SP2 con IIS6, SQL Server 2005, MySQL 5 e PHP 4.3. Questa non è una macchina di produzione, ma è esposta al mondo tramite un nome di dominio. Il desktop remoto è abilitato sulla macchina e due account amministrativi sono attivi su di essa.
Questa mattina ho scoperto che la macchina era stata disconnessa con il nome di un utente sconosciuto ancora nella casella di testo di accesso. Dopo ulteriori accertamenti ho scoperto che sono stati creati due utenti di Windows, che l'antivirus è stato disinstallato e una quantità di file .exe è stata rilasciata nell'unità C :.
Quello che vorrei sapere è, quali misure dovrei prendere per assicurarsi che ciò non accada di nuovo, e le aree su cui dovrei concentrarmi per determinare la strada d'ingresso. Ho già controllato netstat -a per vedere quali porte sono aperte e nulla sembra strano lì. Ho trovato file sconosciuti nella cartella dei dati per MySQL che penso possa essere stato il punto di ingresso ma non ne sono sicuro.
Apprezzerei molto i passaggi per condurre un buon post mortem di un hack del server in modo da poterlo evitare in futuro.
Revisione post indagine
Dopo alcune indagini, penso di aver scoperto cosa è successo. Innanzitutto la macchina non è stata in linea durante il periodo compreso tra agosto '08 e ottobre '09. Durante quel lasso di tempo è stata scoperta una vulnerabilità di sicurezza, la vulnerabilità MS08-067 . "Questa è una vulnerabilità legata all'esecuzione di codice in modalità remota. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato in remoto. Sui sistemi basati su Microsoft Windows 2000, basati su Windows XP e Windows Server 2003, un utente malintenzionato potrebbe sfruttare questa vulnerabilità su RPC senza autenticazione e potrebbe eseguire codice arbitrario. " Questa vulnerabilità è stata risolta con l'aggiornamento della protezione KB958644 uscito nell'ottobre 2008.
Poiché la macchina era offline in quel momento e non ha perso questo aggiornamento, credo che questa vulnerabilità sia stata sfruttata subito dopo che la macchina è tornata online nell'ottobre del '09. Ho trovato riferimenti a un programma bycnboy.exe che è stato descritto come un programma backdoor che quindi crea molto caos su un sistema infetto. Poco dopo che la macchina era online, gli aggiornamenti automatici hanno installato la patch che ha chiuso la possibilità di avere il controllo remoto del sistema. Poiché la backdoor era ora chiusa, credo che l'attaccante abbia quindi creato account fisici sulla macchina e sia stato in grado di utilizzare la macchina per un'altra settimana fino a quando non ho notato cosa stava succedendo.
Dopo aver perseguito in modo aggressivo il codice dannoso, .exes e .dlls, rimuovendo i siti Web self-hosting e gli account utente, la macchina è ora di nuovo funzionante. Per il prossimo futuro monitorerò il sistema e esaminerò i registri del server per determinare se si sta verificando una ripetizione dell'incidente.
Grazie per le informazioni e i passaggi forniti.