J'ai une machine Windows Server 2003 SP2 avec IIS6, SQL Server 2005, MySQL 5 et PHP 4.3 installé dessus. Ce n'est pas une machine de production, mais elle est exposée au monde via un nom de domaine. Le bureau à distance est activé sur la machine et deux comptes administratifs y sont actifs.
Ce matin, j'ai constaté que la machine avait été déconnectée avec un nom d'utilisateur inconnu toujours dans la zone de texte de connexion. Après une enquête plus approfondie, j'ai découvert que deux utilisateurs de Windows ont été créés, que l'antivirus a été désinstallé et qu'une poignée de fichiers .exe ont été déposés dans le lecteur C :.
Ce que j'aimerais savoir, c'est quelles mesures dois-je prendre pour m'assurer que cela ne se reproduise plus, et quels sont les domaines sur lesquels je dois me concentrer pour déterminer la voie d'entrée. J'ai déjà vérifié netstat -a pour voir quels ports sont ouverts, et rien n'y paraît bizarre. J'ai trouvé des fichiers inconnus dans le dossier de données pour MySQL qui, je pense, pourrait être le point d'entrée mais je ne suis pas sûr.
J'apprécierais vraiment les étapes pour effectuer un bon post-mortem d'un piratage de serveur afin que je puisse éviter cela à l'avenir.
Examen après enquête
Après une enquête, je pense avoir découvert ce qui s'est passé. Tout d'abord, la machine n'était pas en ligne pendant la période d'août 08 à octobre 09. Pendant cette période, une vulnérabilité de sécurité a été découverte, la vulnérabilité MS08-067 . "Il s'agit d'une vulnérabilité d'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle complet d'un système affecté à distance. Sur les systèmes Microsoft Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité sur RPC sans authentification et pourrait exécuter du code arbitraire. " Cette vulerabilité a été corrigée avec la mise à jour de sécurité KB958644 publiée en octobre 2008.
Étant donné que la machine était hors ligne à ce moment-là et a raté cette mise à jour, je pense que cette vulnérabilité a été exploitée peu de temps après la remise en ligne de la machine en octobre 2009. J'ai trouvé des références à un programme bycnboy.exe qui a été décrit comme un programme de porte dérobée qui crée alors beaucoup de ravages sur un système infecté. Peu de temps après la mise en ligne de la machine, des mises à jour automatiques ont installé le correctif qui a supprimé la possibilité de contrôler à distance le système. Parce que la porte dérobée était maintenant fermée, je pense que l'attaquant a ensuite créé des comptes physiques sur la machine et a pu utiliser la machine pendant une semaine supplémentaire jusqu'à ce que je remarque ce qui se passait.
Après avoir agressivement recherché le code malveillant, les .exes et les .dll, supprimé les sites Web et les comptes d'utilisateurs auto-hébergés, la machine est à nouveau dans un état de fonctionnement. Dans un avenir proche, je surveillerai le système et examinerai les journaux du serveur pour déterminer si une répétition de l'incident se produit.
Merci pour les informations et les étapes qui vous ont été fournies.