慘痛經歷,記憶猶新。N年前做企業技術支援,有一個case,某著名企業的網站一直500報錯,做即時編譯的那個程序老是initialization failure起不來。試了很多辦法無果,隨後只能現場windbg除錯。除錯過程中需要複製符號檔案到客戶伺服器上,當時公司的專用ftp server正好掛了,我想起我家裡的電腦上開著一個自己的ftp server,於是就臨時借用了下。最後並沒有什麼結果,只能看到程序初始化過程中某個系統dll的初始化失敗,這天宣告除錯失敗。以上是背景。然後我回家,開啟電腦,傻了。差不多是這樣的效果:幾個命令列視窗,C盤,D盤,E盤,所有盤的所有檔案全部被幹掉,當然有一些正開啟的幹不掉。被黑了,和之前工作的事情有關。之後用undelete工具恢復了絕大多數檔案,然後透過分析IIS日誌,大致瞭解了攻擊過程。Cracker先是透過我在IIS上架的一個asp寫的BBS系統的一個漏洞,上傳了可執行檔案並能夠成功執行,然後又透過ftp server的一個漏洞提升本地執行許可權。然後就remote shell全控制了。再聯絡到之前客戶那臺伺服器上奇怪的現象,可以判斷出那臺伺服器必然是已經被攻破了,而且當我在上面遠端除錯的時候,那個cracker說不定就在看現場秀呢。然後看到我中間使用了家中的電腦做中轉,就順手也黑了。從整個攻擊用時來看,非常高效,估計是專業的。最後我們勸客戶完全重灌了。最讓我生氣的是,你個cracker技術厲害就厲害了,黑人家企業網站說不定是拿人錢財與人消災,可以理解。但是,你幹嘛不放過個人電腦啊!你幹嘛不放過個人電腦啊!你幹嘛不放過個人電腦啊!我的一個D盤的小電影啊,還好最後都恢復了。
慘痛經歷,記憶猶新。N年前做企業技術支援,有一個case,某著名企業的網站一直500報錯,做即時編譯的那個程序老是initialization failure起不來。試了很多辦法無果,隨後只能現場windbg除錯。除錯過程中需要複製符號檔案到客戶伺服器上,當時公司的專用ftp server正好掛了,我想起我家裡的電腦上開著一個自己的ftp server,於是就臨時借用了下。最後並沒有什麼結果,只能看到程序初始化過程中某個系統dll的初始化失敗,這天宣告除錯失敗。以上是背景。然後我回家,開啟電腦,傻了。差不多是這樣的效果:幾個命令列視窗,C盤,D盤,E盤,所有盤的所有檔案全部被幹掉,當然有一些正開啟的幹不掉。被黑了,和之前工作的事情有關。之後用undelete工具恢復了絕大多數檔案,然後透過分析IIS日誌,大致瞭解了攻擊過程。Cracker先是透過我在IIS上架的一個asp寫的BBS系統的一個漏洞,上傳了可執行檔案並能夠成功執行,然後又透過ftp server的一個漏洞提升本地執行許可權。然後就remote shell全控制了。再聯絡到之前客戶那臺伺服器上奇怪的現象,可以判斷出那臺伺服器必然是已經被攻破了,而且當我在上面遠端除錯的時候,那個cracker說不定就在看現場秀呢。然後看到我中間使用了家中的電腦做中轉,就順手也黑了。從整個攻擊用時來看,非常高效,估計是專業的。最後我們勸客戶完全重灌了。最讓我生氣的是,你個cracker技術厲害就厲害了,黑人家企業網站說不定是拿人錢財與人消災,可以理解。但是,你幹嘛不放過個人電腦啊!你幹嘛不放過個人電腦啊!你幹嘛不放過個人電腦啊!我的一個D盤的小電影啊,還好最後都恢復了。