在內網的正式服務器被植入病毒,以前總覺得有點遙遠,可是今天發生的事情讓我對此有了新的認識,真是沒有絕對安全。
開了一早上的會議,下午就開始梳理各種資料並籌備明天開會的內容。結果突然接到手下人員反饋,正式系統訪問出現亂碼問題,及時登上服務器進行查看系統日誌,不看不知道,一看嚇一跳啊。。。我的系統網址正常用戶訪問的時候被惡意篡改了,對比了所有異常訪問記錄後,發現共同特點就是加了一級路徑,進而導致網頁訪問不到錯誤。具體是:/fffff837/..., 八位字符的路徑,後四位是隨機的。
根據多年經驗,極可能是中病毒或是被攻擊了,導致正常用戶訪問的網址被攔截篡改了。但是爲了保險期間,自己把自己代碼及網站文件仔細看了下,沒有發現問題;繼續排查,按病毒的模式排查。
1、服務器病毒掃描
打開安全狗對服務器進行安全掃描,結果沒有任何病毒異常信息。
2、服務器遠程鏈接排查
遠程服務器後查看任務管理器,打開用戶列表,突然發現有一個異常用戶登錄:
打開系統日誌,搜了下 來源爲“TermDD” ,一一排查後可以發現異常來源那個IP登錄的。
3、異常服務進程排查
在此發現了異常活動的進程,這幾個進程顯示是遠程用戶的活動進程,但是沒發現其他明顯異常進程或服務。
4、站點排查(主要是排查是針對全站還是針對某個功能模塊)
經測試發現,僅針對我IIS下一個站點所有功能有效,其他站點則發現訪問正常。
5、文件複製(這點我估計很多人都沒想到)
說實話這點我也沒想到,我想的既然它對那個端口下的站點有篡改,那我新建站點以做緊急時備用。把正式站點文件全部拷貝到另外一個硬盤上的新建文件後,沒多久服務器上的安全狗就有病毒提示,經查文件地址是剛拷貝過去的文件。
至此安全狗把病毒的相關信息也提示出來了:PHP的Shell腳本,到此大概就明白是怎麼回事了。網上搜了下結果沒找到對應的查殺工具,所以我臨時先開啓了Web防護功能。
因爲站點都是.Net開發的,所以突然出現PHP的相關東西就是異常,明天再繼續深入排查看看,具體是哪天進來的。