【记录】3年网管遭遇最严重的一次安全事故
本人80后,传说中是现如今社会的“中流砥柱”,可总觉得自己给社会拖后腿了,本人的家乡和工作的地方是个三线都算不上的城市,一个字形容“穷”。我也是实实在在的验证了古人的一句话"少年不努力,老大修电脑“初中毕业后,中考成绩惨淡,自己也不想再读就去了技校学门手艺,2年制毕业后分配工作,到头来还是打工,而且还是学无致用(学的东西一点没用上),后来仔细一想还是要做点自己喜欢的事情,自学了半年的电脑硬件,网络略懂皮毛。偶然的机会有个公司招聘网管,自己就误打误撞的混了进去,后来才知道这还是个新三板上市公司。至于我这水平的怎么能混进来?可能是当时面试的时候人事部的觉的我这人比较实在吧,因为他们问我待遇的时候”我说你们看着给吧,我主要是学东西“其实到了开资的时候一分也没少。然后就是主管带我看了我负责的设备(当时还分不清是交换和路由)然而走进机房的那一刻就懵比了,说实话当时想退缩了,第二天起床就不打算再去了,后来一想大不了就被辞退了,完事开头难还好有个老师叫”baidu“不懂得可以问(其实本人比较偏向于Google的),就这样我的网管之旅算是启程了,每天过的那个充实啊,什么鸡毛蒜皮的小问题也要跑过去搞一下。可能因为当时技术不到家,处理问题慢吧。后来通过一个问题学到了个远程的技术,非硬件问题 远程协助,也就是3389 (是不是挺可笑的,新手勿怪)觉的这个特别方便,不用跑来跑去的了,后来干脆把服务器的3389也开了,维护什么的也方便。当时也没有什么硬件方面的安全防火墙,都是靠免费的软件来防护的。
下面才说的重点,就在一个风高月黑的夜晚,公司的服务器被入侵了,第二天发现我的server里面多了一个莫名的账户,当时以为安装ad控制器自动生成的呢,后来发现服务器共享文件传输过程中严重的卡顿丢包,赶紧去分析了一下那个莫名的帐号 ,然后就发现了这个:百思不得其解啊,怎么会这样?赶紧把3389关掉,用杀软把病毒查杀(一些数据文件什么的已经损坏了)问题仍然得不到改善,而且是一团糟,共用的办公软软件无法正常使用(sql一崩溃 好多搭载sql的系统平台全完了),发帖询问怎么处理,一位老司机告诉我:看你这个图应该是深度植入,无解,只能重新再来一遍。重新做系统 数据库 各种软件平台 顿时头大了,安装都还不是什么问题,你让我去配置软件的数据库。。。。联系服务商吧,差不多弄了半个月基本算是稳定,比较庆幸的是 病毒还没有感染备份数据。你要是问我:造成了多大的损失?我也不知道,从图片上看server入侵后又搭载的了一个ftp服务器,数据肯定被拷贝了。
以上就是做网管3年遇到最严重的一次事故,还有一些其他的例如局域网office宏病毒 arp工具 带选项的报文攻击 相信这些对大家都是小菜一碟,现在我已经转行了,但我仍然热爱网络这门技术,至于为什么转行,学历有限瓶颈了,不过还是真心的希望大家能在这个道路上越走越远。(文章手打原创,技术也很菜,高手手下留情)
看了楼主经历觉得很有感触啊。。。当初去AMD实习就是,刚进去激情满满结果干了2个月发现根本跟不上节奏,跟正式员工差的不是一星半点。。。但是我觉得其实喜欢就干下去好了,什么东西开始都困难。至于后面的内容嘛。。不得不说作为一个网管做的真是有点不实在哈~关端口,杀毒没错,但是数据是命啊~~记得原来看过一篇帖子说的就是一服务器管理员自己开了debug端口没关,结果大半夜就被攻击了,幸亏发现及时没泄露关键数据。。。但是就这样还是给停职查看了。。。劝各位小心啊。。。每天查端口,防火墙运行情况是必须,安全代码最好是每小时更新最差也得30天更新一次吧。。数据无价啊~~ a1140314368 发表于 2016-7-22 10:28
都什么年代了,入侵者还玩3389弱口令。虽然不可轻视,但是安全意识还是要有所提高的。感谢楼主!
不一定是弱口令,也不一定直接通过3389,现在高端攻击技术都是uaf和溢出,12020和08067就是个神话。。。还有ii5现在的exp就很多,通过telnet和本地提权来拿并不稀奇,所以弱口令和3389啥的真不一定。。。 不明觉厉 不明觉厉 转行干啥了啊 好牛逼的感觉~ 不明觉厉,4个字可以吗? 都什么年代了,入侵者还玩3389弱口令。虽然不可轻视,但是安全意识还是要有所提高的。感谢楼主! 看看。。。 好牛呀,不错。 以后发帖应该注意下排版,看着太累了{:301_1007:}