前幾天,合作公司人員告訴我,資料庫資料都送不進去,我猜可能是資料庫又出問題了,所以遠端登入後就檢查資料庫,發現其實都很正常,最後猜想可能是網路的問題,後來慢慢發現原來是跳板攻擊,當下我真的
「好高興」
因為,這種教材要去哪裡生啊,馬上拉好視窗,準備好擷取程式,開始介紹
1.檢查自己網站,發現鎖定無法停止/重開
2.應該是被某個執行緒鎖住,利用「netstat -b」,列出所有執行中的網路port
確認這是跳板攻擊,因為本電腦正在攻擊某主機(140.125.11.32)的所有Port
3.利用sniffer監視攻擊程式所送出的訊息,是常見的info木馬病毒
4.連到對方,發現對方已經淪陷
5.利用TCPview檢查是誰卡住我的port:80,這套程式會列出執行緒編號,鎖住80的是1936
6.進入工作管理員,找出編號1936的執行緒
7.檢查該服務註冊程式,已經感染SSL安全服務程式
8.直接關閉該服務後,把該dll刪除,反正網站沒在用SSL
9.至此大概告一段落,重開機後發現網站已經正常,不過後面陸陸續續還是一直被攻陷
最後還發現他竟然在我的電腦中建立了管理者帳號,趕快把他刪除
10.後面又將近處理快1個星期才終於把所有問題移除,最後把防火牆打開
以前因為懶都沒有開,這下知道問題大了,還是勤勞一點,才能省點事。
全站熱搜
留言列表
