2008 这几天被日的有点严重啊 dalao来分析下

lovees · 发表于 2017-4-26 09:31:22

莫桑比特发表于 2017-4-26 09:21
分析什么马没用现在是找从什么洞进来的

这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什么攻击都拿你没辙，我目前就设置，只有我允许的几个端口可以访问服务器，其他只出不入

junhan · 发表于 2017-4-26 09:38:26

这么牛逼

莫桑比特 · 发表于 2017-4-26 09:43:44

lovees 发表于 2017-4-26 09:31
这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什 ...

目前我这客户只保留 web和远程端口一样被日

ahao358 · 发表于 2017-4-26 09:55:14

本帖最后由 ahao358 于 2017-4-26 10:17 编辑

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
防火墙里开了ICMP所有，怀疑是通过这，印象中没开防火墙，黑人好象帮我开了。
其他的目前还看不出来，水平有限。

补充：
windows目录下有un.exe csrss.exe winsxslog.rar等几个可疑文件。

莫桑比特 · 发表于 2017-4-26 10:31:43

ahao358 发表于 2017-4-26 09:55
我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。

2008 64感觉跟出了0day一样

tiane12 · 发表于 2017-4-26 10:48:04

我的腾讯云也被黑了。3389端口默认。

ahao358 · 发表于 2017-4-26 10:57:12

莫桑比特发表于 2017-4-26 10:31
2008 64感觉跟出了0day一样

感觉是有0DAY了，那机器就用来挂机，远程桌面没开，防火墙也没开，但还是被日了。
现在删除那可疑服务和相关文件，取消远程桌面，删除那防火墙ICMP全开规则，目前还没发现其他情况，现在在更新，不知道黑人还有没有开放其他。现在更新没动静，等了好久，只能继续观察了

ahao358 · 发表于 2017-4-26 11:08:08

鼎峰网络包子发表于 2017-4-25 18:57
那是微软系统跟新问题

不一定，原来设置是密码永不过期，被黑后发现异常时是出现这，机器还不定时重启，后来发现如我上面回复说的情况了。

loony · 发表于 2017-4-26 11:42:25

详情请搜索：Windows系统 SMB/RDP远程命令执行漏洞

robit · 发表于 2017-4-26 12:23:21

2008还是2008R2?

		自动登录	找回密码
密码			注册

[Windows VPS] 2008 这几天被日的有点严重啊 dalao来分析下