[求助] 跑FAH的服务器总被黑怎么解决？

baibaipangpang · 发表于 2010-6-12 10:02:40

本帖最后由 baibaipangpang 于 2010-6-12 10:06 编辑

大约10台服务器，只做上网PNAT策略，面向本身局域网开放所有端口（包含3389）。

今天早上发现服务器华丽的再次被黑，发现原因是PPD大幅度下降。

服务器使用的瑞星网络版，系统补丁和杀毒软件是自动升级。

现在被迫暂停所有服务器。

怎么被黑的呢？

在互联网上根本看不到这些服务器啊？

PS : 最诡异的是某测试服务器面向互联网做了双向NAT，竟然没有被黑。

bugfix · 发表于 2010-6-12 10:12:12

windows服务器？可能是被从内部攻破的

金鹏 · 发表于 2010-6-12 10:15:20

回复 1# baibaipangpang

欢迎传说中的白胖地主回家

兄弟们噼里啪啦

兄弟来冒个泡貌似千年等一回

woozhou · 发表于 2010-6-12 10:35:01

尽量少开端口

bugfix · 发表于 2010-6-12 10:58:10

windows浑身都是破洞。。。

baibaipangpang · 发表于 2010-6-12 10:58:13

windows服务器？可能是被从内部攻破的
bugfix 发表于 2010-6-12 10:12

有可能，但是内部网络太大，无法排查。

baibaipangpang · 发表于 2010-6-12 10:58:56

尽量少开端口
woozhou 发表于 2010-6-12 10:35

没有面向互联网开端口。

baibaipangpang · 发表于 2010-6-12 10:59:13

回复 baibaipangpang

欢迎传说中的白胖地主回家兄弟们噼里啪啦

兄弟来冒个泡貌似千年等一 ...
金鹏发表于 2010-6-12 10:15

谢谢

baibaipangpang · 发表于 2010-6-12 11:28:01

内鬼的可能性很大。。。
netgates 发表于 2010-6-12 11:10

可以排除内鬼，原因是有管理制度。

caozhonghua · 发表于 2010-6-12 11:31:56

欢迎白胖现身

没能力解答问题……白胖好像是微软的吧？

cicikml · 发表于 2010-6-12 13:27:36

欢迎白白胖胖再次现身论坛！

zglloo · 发表于 2010-6-12 14:17:01

本帖最后由 zglloo 于 2010-6-12 14:22 编辑

建议将3389的端口改为别的空闲端口 7777 7001都可以

日志中有没有情况！安全审核中有问题没，你NAT是自己改动还是被黑后发现的！我也觉得是内部

baibaipangpang · 发表于 2010-6-12 14:27:00

本帖最后由 baibaipangpang 于 2010-6-12 14:28 编辑

欢迎白白胖胖再次现身论坛！
cicikml 发表于 2010-6-12 13:27

谢谢你的帮助，没有你我也上不来啊。

建议将3389的端口改为别的空闲端口 7777 7001都可以

日志中有没有情况！安全审核中有问题没，你NAT ...
zglloo 发表于 2010-6-12 14:17

首先，日志中无异常；其次，IDS没有报警。最后，我实在不知道这个是怎么被黑的。

你要说我这个上面有个WEB 有个FTP 我都能理解，什么CGI漏洞等等。但是这个服务器什么都没有啊，就是个冗余零件的服务器。

baibaipangpang · 发表于 2010-6-12 14:29:01

欢迎白胖现身
没能力解答问题……白胖好像是微软的吧？
caozhonghua 发表于 2010-6-12 11:31

我不是微软的。

mrks · 发表于 2010-6-12 14:53:33

本帖最后由 mrks 于 2010-6-12 14:55 编辑

我不是专业人员，以下无责任乱弹。

首先，你的描述没什么参考价值，毕竟要是知道问题在哪里，你也不会到这么一个外行的论坛来问了。

建议你先找个端口扫描工具从外部内部都扫一下，这样才能有个比较准确地印象。比如 nmap。

内部的机器中毒然后蔓延到服务器很正常。

然后找个 sniffer 听一段时间的通信，看看有什么异常情况。GFW 都能直接穿透，IDS 没动静很正常。配置也要对。

最后，用瑞星，晕！

		自动登录	找回密码
密码			新注册用户

[求助] [求助] 跑FAH的服务器总被黑怎么解决？