我有一个用于托管网站的 Windows Server 2019 VPS。它具有所有最新更新。但不知何故,有一个(部分)黑客尝试。我首先通过收到的短信注意到它,因为 Microsoft 注册服务器 (regsvr32.exe) 的 CPU 使用率很高。在此站点和Process Explores的帮助下,原因是ProgramDAta文件夹中的 DLL。
在那里我找到了一个名为 的 zip set.zip。包含以下5个文件。comhij.dll, let.exe,和. rn.bat_ 似乎 .bat 文件已被执行并正在运行脚本。但它以某种方式失败了,也许是 Windows Defender 或其他东西阻止了它,导致 CPU 过高。我知道这一点,因为 .bat 中的最后几行导致它自行删除。而且我找不到脚本想要进行的任何更改。x.mofxg.dll
我将 zip 文件复制到自己的 PC 上,Norton 360 立即将 let.exe 识别为 Hacktool,将 comhij.dll 识别为 Trojan Horse,将 xg.dll 识别为 Trojan.Get.MTB。
服务器激活了 Windows 防火墙,并且在提供商级别TransIP也激活了防火墙。
我发现它set.zip是由没有 FTP 访问的 AppPools(托管DotNetNuke CMS )之一创建的。
所以我的问题是如何找出这种情况是如何发生的,以及将来如何防止它发生?以及 AppPool 如何将文件写入其根目录之外的磁盘?根据要求,我可以发布整个 .bat 脚本。
这是怎么发生的?
您的网站(无论它运行什么内容)被黑客入侵,有人用它上传并运行木马到您的服务器。它究竟是如何被黑客入侵的取决于网站本身,可能是一个错误、一个漏洞、一个过于简单的密码……任何东西,真的。
AppPool 如何将文件写入其根目录之外的磁盘?
这取决于运行应用程序池的用户帐户和文件系统权限。此外,即使用户帐户实际上没有写入文件的权限,也可能涉及权限提升。
我将来如何防止它?
除了加强您的安全之外,还要警惕您网站中的错误或漏洞;如果您正在运行由其他人创建的 Web 应用程序,请确保检查他们的已知漏洞并应用他们的更新。