您的位置:程序门 -> windows专区 -> 安全技术/病毒



网站被攻击了啊,各位大大救救我啊


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


网站被攻击了啊,各位大大救救我啊
发表于:2008-01-17 14:45:45 楼主
2008年1月14日,星期一中午13:30,我们的网络管理员正在线上(用远程桌面连接到213服务器),发现上面另外有一个用户上来了,发现这不是我们自己的用户。我们意识到有黑客攻进了我们的系统,于是马上把它踢了下去,用管理工具的用户管理直接把他的用户给删除掉了,同时检查日志发现他是要开启我们的iis服务,架设一个arp攻击服务器,而这个arp服务直接指向了机房另外一台服务器143,我们随即备份了相关的情况,并删除了他的iis服务以及遗留的文件。修改了管理员密码,接着用安全卫士360检查系统发现没有异常。当晚我们一直值班到11:30分,没有发现他的再次入侵。

到2008年1月15日,星期二早上9:00上班,检查日志发现00:30以前日志被删除了,我们意识到在黑客又一次入侵了我们的系统,检查发现黑客在系统上安装一个软件叫《qq第六感2.0》,于是删除之,检查用户发现guest用户被克隆成了管理员帐号(以前管理员帐号是有32位md5密码并被禁用的),于是我们用另一个不再任何组的废弃账户sql   debuger(以前的账户,不再任何组,禁用、有密码)克隆掉了guest账户。同时通过安全卫士360发现了他的遗留痕迹,发现他上过一下网站:(http://jjzjs.ys168.com和http://jjzjs.ys168.com),清理之,同时用ie清理了缓存文件。接着,修改了管理员密码。

到2008年1月15日,星期二早上11:00远程系统再次发生意外错误,自动重启就好了,可是我们怎么检查都没有在发现异常。无法之下,我们求助了服务器托管商,中午刚到托管商那边(15:30),发现系统再次意外错误重启,而重启后我们怎么都上不了,经机房检查发现管理员密码被改掉了,于是请机房帮我们破掉了管理员密码,并修改了远程桌面的端口,再次仔细查杀木马发现在scrss.exe中注入了arp木马,清理之。同时机房联系了143的服务器(unix服务器)所有者公司,发现143系统已经被攻击,root密码被改,机房帮忙重装之。再检查我们的机器没什么问题,于是晚上值班到24:00,没有发现异常。

到2008年1月16日,星期三上班,发现基本正常没有异常现象,同时发现日志较长,于是在下班时清除了日志。一直值班到17日(周四)早上04:30,隔5分钟刷新一次日志,发现系统在17日00:00左右发生了意外错误一次,自动热重启就好了,没有发生任何入侵的数据流与异常记录。到17日03:00发现已经没什么人访问了,于是重启了服务器,再次全面检查,没有异常,启动杀毒软件做了一次全盘扫描。

到2008年1月17日,星期四早上11:35开始,系统开始接连两次出现蓝屏异常,检查系统发现系统是意外重启,联系机房,机房的办法是取消系统的发生错误自动重启选项,一直到目前。


各位高手帮忙分析一下,怎么才能不重启啊?
发表于:2008-01-17 14:46:381楼 得分:0
相关日志:
2008-1-17 12:41:27 service   control   manager 信息 无 7036 n/a netline-44xklmq apache2   服务处于   正在运行   状态。
2008-1-17 12:41:24 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq apache2   服务成功发送一个   开始   控件。
2008-1-17 12:41:05 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 12:00:00 eventlog 信息 无 6013 n/a netline-44xklmq 系统启动时间为   388   秒。
2008-1-17 11:56:37 service   control   manager 信息 无 7036 n/a netline-44xklmq cryptographic   services   服务处于   正在运行   状态。
2008-1-17 11:56:37 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq cryptographic   services   服务成功发送一个   开始   控件。
2008-1-17 11:56:22 service   control   manager 信息 无 7036 n/a netline-44xklmq shell   hardware   detection   服务处于   正在运行   状态。
2008-1-17 11:56:22 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq shell   hardware   detection   服务成功发送一个   开始   控件。
2008-1-17 11:56:19 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 11:56:17 user32 警告 无 1076 netline-44xklmq\5fb933b951c1f893 netline-44xklmq "用户   netline-44xklmq\5fb933b951c1f893   为这台机器上一次意外的关机提供的原因是:   安全问题
  原因代码:   0x8050013
  错误   id:  
  错误检查字符:   0x00000024   (0x0019033d,   0xf7902a78,   0xf7902774,   0x8082b9dd)
  注释:   0x00000024   (0x0019033d,   0xf7902a78,   0xf7902774,   0x8082b9dd)"
2008-1-17 11:55:34 service   control   manager 信息 无 7036 n/a netline-44xklmq application   layer   gateway   service   服务处于   正在运行   状态。
发表于:2008-01-17 14:47:132楼 得分:0
2008-1-17 11:55:34 service   control   manager 信息 无 7036 n/a netline-44xklmq application   layer   gateway   service   服务处于   正在运行   状态。
2008-1-17 11:55:34 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq application   layer   gateway   service   服务成功发送一个   开始   控件。
2008-1-17 11:55:34 service   control   manager 信息 无 7036 n/a netline-44xklmq network   location   awareness   (nla)   服务处于   正在运行   状态。
2008-1-17 11:55:34 service   control   manager 信息 无 7036 n/a netline-44xklmq terminal   services   服务处于   正在运行   状态。
2008-1-17 11:55:34 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq network   location   awareness   (nla)   服务成功发送一个   开始   控件。
2008-1-17 11:55:34 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq terminal   services   服务成功发送一个   开始   控件。
2008-1-17 11:55:34 service   control   manager 错误 无 7024 n/a netline-44xklmq apache2   服务因   1   (0x1)   服务性错误而停止。
2008-1-17 11:54:36 application   popup 信息 无 26 n/a netline-44xklmq "弹出应用程序:   服务控制管理器   :   在系统启动时至少有一个服务或驱动程序产生错误。详细信息,请使用事件查看器查看事件日志。
2008-1-17 11:54:14 ipsec 信息 无 4294 n/a netline-44xklmq ipsec   驱动程序进入   secure   状态。如果配置了   ipsec   策略,   将在现在被应用到此计算机。
2008-1-17 11:53:40 ipsec 信息 无 4295 n/a netline-44xklmq ipsec   驱动程序以   bypass   模式启动。在此计算机启动时没有   ipsec   安全性会被应用到此计算机。如果配置了ipsec   策略,它们将在     ipsec   服务启动后被应用到此计算机。
2008-1-17 11:53:40 b57w2k 信息 无 9 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   network   controller   configured   for   100mb   full-duplex   link.
2008-1-17 11:53:39 b57w2k 信息 无 15 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   driver   initialized   successfully.
2008-1-17 11:53:53 save   dump 信息 无 1001 n/a netline-44xklmq 计算机已经从检测错误后重新启动。检测错误:   0x00000024   (0x0019033d,   0xf7902a78,   0xf7902774,   0x8082b9dd)。   已将转储的数据保存在:   c:\windows\memory.dmp。
2008-1-17 11:53:53 dcom 信息 无 10026 n/a netline-44xklmq com   子系统正在取消   86400   秒持续时间内重复的事件日志项。可以通过下列注册表项下名为   suppressduplicateduration   的   reg_dword   值控制取消超时:   hklm\software\microsoft\ole\eventlog。
2008-1-17 11:53:52 eventlog 信息 无 6005 n/a netline-44xklmq 事件日志服务已启动。
2008-1-17 11:53:52 eventlog 信息 无 6009 n/a netline-44xklmq microsoft   (r)   windows   (r)   5.02.   3790   service   pack   2   multiprocessor   free。
2008-1-17 11:53:52 eventlog 错误 无 6008 n/a netline-44xklmq 上一次系统的   11:51:22   在   2008-1-17   上的关闭是意外的。
2008-1-17 11:44:20 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 11:42:43 service   control   manager 信息 无 7036 n/a netline-44xklmq apache2   服务处于   正在运行   状态。
2008-1-17 11:42:31 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq apache2   服务成功发送一个   开始   控件。
2008-1-17 11:42:26 service   control   manager 信息 无 7036 n/a netline-44xklmq cryptographic   services   服务处于   正在运行   状态。
2008-1-17 11:42:26 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq cryptographic   services   服务成功发送一个   开始   控件。
2008-1-17 11:42:15 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq shell   hardware   detection   服务成功发送一个   开始   控件。
2008-1-17 11:42:11 service   control   manager 信息 无 7036 n/a netline-44xklmq shell   hardware   detection   服务处于   正在运行   状态。
2008-1-17 11:42:07 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 11:42:05 user32 警告 无 1076 netline-44xklmq\5fb933b951c1f893 netline-44xklmq "用户   netline-44xklmq\5fb933b951c1f893   为这台机器上一次意外的关机提供的原因是:   系统故障:   停止错误
  原因代码:   0x805000f
  错误   id:  
  错误检查字符:   0x00000024   (0x0019033d,   0xf3923a78,   0xf3923774,   0x8082b9dd)
  注释:   0x00000024   (0x0019033d,   0xf3923a78,   0xf3923774,   0x8082b9dd)"
发表于:2008-01-17 14:47:323楼 得分:0
2008-1-17 11:40:02 service   control   manager 信息 无 7036 n/a netline-44xklmq application   layer   gateway   service   服务处于   正在运行   状态。
2008-1-17 11:40:02 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq application   layer   gateway   service   服务成功发送一个   开始   控件。
2008-1-17 11:40:02 service   control   manager 信息 无 7036 n/a netline-44xklmq network   location   awareness   (nla)   服务处于   正在运行   状态。
2008-1-17 11:40:02 service   control   manager 信息 无 7036 n/a netline-44xklmq terminal   services   服务处于   正在运行   状态。
2008-1-17 11:40:02 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq network   location   awareness   (nla)   服务成功发送一个   开始   控件。
2008-1-17 11:40:02 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq terminal   services   服务成功发送一个   开始   控件。
2008-1-17 11:40:02 service   control   manager 错误 无 7024 n/a netline-44xklmq apache2   服务因   1   (0x1)   服务性错误而停止。
2008-1-17 11:39:07 application   popup 信息 无 26 n/a netline-44xklmq "弹出应用程序:   服务控制管理器   :   在系统启动时至少有一个服务或驱动程序产生错误。详细信息,请使用事件查看器查看事件日志。
2008-1-17 11:38:45 ipsec 信息 无 4294 n/a netline-44xklmq ipsec   驱动程序进入   secure   状态。如果配置了   ipsec   策略,   将在现在被应用到此计算机。
2008-1-17 11:38:08 ipsec 信息 无 4295 n/a netline-44xklmq ipsec   驱动程序以   bypass   模式启动。在此计算机启动时没有   ipsec   安全性会被应用到此计算机。如果配置了ipsec   策略,它们将在     ipsec   服务启动后被应用到此计算机。
2008-1-17 11:38:08 b57w2k 信息 无 9 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   network   controller   configured   for   100mb   full-duplex   link.
2008-1-17 11:38:07 b57w2k 信息 无 15 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   driver   initialized   successfully.
2008-1-17 11:38:23 save   dump 信息 无 1001 n/a netline-44xklmq 计算机已经从检测错误后重新启动。检测错误:   0x00000024   (0x0019033d,   0xf3923a78,   0xf3923774,   0x8082b9dd)。   已将转储的数据保存在:   c:\windows\memory.dmp。
2008-1-17 11:38:23 dcom 信息 无 10026 n/a netline-44xklmq com   子系统正在取消   86400   秒持续时间内重复的事件日志项。可以通过下列注册表项下名为   suppressduplicateduration   的   reg_dword   值控制取消超时:   hklm\software\microsoft\ole\eventlog。
2008-1-17 11:38:22 eventlog 信息 无 6005 n/a netline-44xklmq 事件日志服务已启动。
2008-1-17 11:38:22 eventlog 信息 无 6009 n/a netline-44xklmq microsoft   (r)   windows   (r)   5.02.   3790   service   pack   2   multiprocessor   free。
2008-1-17 11:38:22 eventlog 错误 无 6008 n/a netline-44xklmq 上一次系统的   11:35:47   在   2008-1-17   上的关闭是意外的。
2008-1-17 10:02:26 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 9:58:42 application   popup 信息 无 26 n/a netline-44xklmq 弹出应用程序:   windows   -   虚拟内存最小值太低:   您的系统虚拟内存太低。windows   会增加虚拟内存分页文件的大小。   在这个过程中,一些应用程序的内存请求会被拒绝。有关详细信息,请参阅“帮助”。  
2008-1-17 4:06:19 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq 3ca6   服务成功发送一个   开始   控件。
2008-1-17 3:57:25 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq 40c2   服务成功发送一个   开始   控件。
2008-1-17 3:39:45 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-17 3:36:58 user32 信息 无 1074 netline-44xklmq\5fb933b951c1f893 netline-44xklmq "进程   explorer.exe   已因下列原因为用户   netline-44xklmq\5fb933b951c1f893   开始计算机   netline-44xklmq   的   重新启动:   其他(计划的)
  原因代码:   0x85000000
  关机类型:   重新启动
  注释:   ok"
2008-1-16 22:37:06 service   control   manager 信息 无 7036 n/a netline-44xklmq apache2   服务处于   正在运行   状态。
2008-1-16 22:36:56 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq apache2   服务成功发送一个   开始   控件。
2008-1-16 22:35:29 service   control   manager 信息 无 7036 n/a netline-44xklmq cryptographic   services   服务处于   正在运行   状态。
2008-1-16 22:35:29 service   control   manager 信息 无 7035 netline-44xklmq\5fb933b951c1f893 netline-44xklmq cryptographic   services   服务成功发送一个   开始   控件。
2008-1-16 22:35:18 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq shell   hardware   detection   服务成功发送一个   开始   控件。
2008-1-16 22:35:16 service   control   manager 信息 无 7036 n/a netline-44xklmq shell   hardware   detection   服务处于   正在运行   状态。
2008-1-16 22:35:09 termservdevices 警告 无 1114 n/a netline-44xklmq 跟后台打印程序系统服务通讯时出现错误。请打开服务管理单元,确认后台打印程序服务是否在运行。
2008-1-16 22:35:07 user32 警告 无 1076 netline-44xklmq\5fb933b951c1f893 netline-44xklmq "用户   netline-44xklmq\5fb933b951c1f893   为这台机器上一次意外的关机提供的原因是:   系统故障:   停止错误
  原因代码:   0x805000f
  错误   id:   0
  错误检查字符:   0x00000050   (0x98d34009,   0x00000001,   0x8082b9dd,   0x00000000)
  注释:   0x00000050   (0x98d34009,   0x00000001,   0x8082b9dd,   0x00000000)"
2008-1-16 22:33:23 service   control   manager 信息 无 7036 n/a netline-44xklmq application   layer   gateway   service   服务处于   正在运行   状态。
2008-1-16 22:33:23 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq application   layer   gateway   service   服务成功发送一个   开始   控件。
2008-1-16 22:33:23 service   control   manager 信息 无 7036 n/a netline-44xklmq network   location   awareness   (nla)   服务处于   正在运行   状态。
2008-1-16 22:33:23 service   control   manager 信息 无 7036 n/a netline-44xklmq terminal   services   服务处于   正在运行   状态。
2008-1-16 22:33:23 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq network   location   awareness   (nla)   服务成功发送一个   开始   控件。
2008-1-16 22:33:23 service   control   manager 信息 无 7035 nt   authority\system netline-44xklmq terminal   services   服务成功发送一个   开始   控件。
2008-1-16 22:33:23 service   control   manager 错误 无 7024 n/a netline-44xklmq apache2   服务因   1   (0x1)   服务性错误而停止。
2008-1-16 22:32:26 application   popup 信息 无 26 n/a netline-44xklmq "弹出应用程序:   服务控制管理器   :   在系统启动时至少有一个服务或驱动程序产生错误。详细信息,请使用事件查看器查看事件日志。
2008-1-16 22:32:03 ipsec 信息 无 4294 n/a netline-44xklmq ipsec   驱动程序进入   secure   状态。如果配置了   ipsec   策略,   将在现在被应用到此计算机。
2008-1-16 22:31:29 ipsec 信息 无 4295 n/a netline-44xklmq ipsec   驱动程序以   bypass   模式启动。在此计算机启动时没有   ipsec   安全性会被应用到此计算机。如果配置了ipsec   策略,它们将在     ipsec   服务启动后被应用到此计算机。
2008-1-16 22:31:29 b57w2k 信息 无 9 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   network   controller   configured   for   100mb   full-duplex   link.
2008-1-16 22:31:28 b57w2k 信息 无 15 n/a netline-44xklmq broadcom   netxtreme   gigabit   ethernet   #2:   driver   initialized   successfully.
2008-1-16 22:31:42 save   dump 信息 无 1001 n/a netline-44xklmq 计算机已经从检测错误后重新启动。检测错误:   0x00000050   (0x98d34009,   0x00000001,   0x8082b9dd,   0x00000000)。   已将转储的数据保存在:   c:\windows\memory.dmp。
2008-1-16 22:31:42 dcom 信息 无 10026 n/a netline-44xklmq com   子系统正在取消   86400   秒持续时间内重复的事件日志项。可以通过下列注册表项下名为   suppressduplicateduration   的   reg_dword   值控制取消超时:   hklm\software\microsoft\ole\eventlog。
2008-1-16 22:31:41 eventlog 信息 无 6005 n/a netline-44xklmq 事件日志服务已启动。
2008-1-16 22:31:41 eventlog 信息 无 6009 n/a netline-44xklmq microsoft   (r)   windows   (r)   5.02.   3790   service   pack   2   multiprocessor   free。
2008-1-16 22:31:41 eventlog 错误 无 6008 n/a netline-44xklmq 上一次系统的   22:29:44   在   2008-1-16   上的关闭是意外的。
发表于:2008-01-17 14:48:534楼 得分:0
高手们救救我啊,在线等啊
发表于:2008-01-17 20:11:485楼 得分:0
........帮顶,关注中...
发表于:2008-01-18 13:59:296楼 得分:0
接着用安全卫士360检查系统发现没有异常。
~~~~~~~~~~~

楼主居然认为用这个东东检查不出异常就以为万事大吉了?

检查是否存在克隆并隐藏的用户帐户了吗?

检查可能存在的后门程序了吗?

.............
发表于:2008-01-18 20:30:207楼 得分:0
does   any   web   services   run   on   the   server,   if   yes   ,tell   me   the   web   url   or   contact   me   via
qq   185788543

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击