我有一个用于托管网站的 Windows Server 2019 VPS。它具有所有最新更新。但不知何故,有一个(部分)黑客尝试。我首先通过收到的短信注意到它,因为 Microsoft 注册服务器 (regsvr32.exe) 的 CPU 使用率很高。在此站点和Process Explores的帮助下,原因是ProgramDAta
文件夹中的 DLL。
在那里我找到了一个名为 的 zip set.zip
。包含以下5个文件。comhij.dll
, let.exe
,和. rn.bat
_ 似乎 .bat 文件已被执行并正在运行脚本。但它以某种方式失败了,也许是 Windows Defender 或其他东西阻止了它,导致 CPU 过高。我知道这一点,因为 .bat 中的最后几行导致它自行删除。而且我找不到脚本想要进行的任何更改。x.mof
xg.dll
我将 zip 文件复制到自己的 PC 上,Norton 360 立即将 let.exe 识别为 Hacktool,将 comhij.dll 识别为 Trojan Horse,将 xg.dll 识别为 Trojan.Get.MTB。
服务器激活了 Windows 防火墙,并且在提供商级别TransIP也激活了防火墙。
我发现它set.zip
是由没有 FTP 访问的 AppPools(托管DotNetNuke CMS )之一创建的。
所以我的问题是如何找出这种情况是如何发生的,以及将来如何防止它发生?以及 AppPool 如何将文件写入其根目录之外的磁盘?根据要求,我可以发布整个 .bat 脚本。