吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 45387|回复: 150
收起左侧

[分享] 【记录】3年网管遭遇最严重的一次安全事故

  [复制链接]
om5555 发表于 2016-7-22 10:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
     本人80后,传说中是现如今社会的“中流砥柱”,可总觉得自己给社会拖后腿了,本人的家乡和工作的地方是个三线都算不上的城市,一个字形容“穷”。我也是实实在在的验证了古人的一句话"少年不努力,老大修电脑“初中毕业后,中考成绩惨淡,自己也不想再读就去了技校学门手艺,2年制毕业后分配工作,到头来还是打工,而且还是学无致用(学的东西一点没用上),后来仔细一想还是要做点自己喜欢的事情,自学了半年的电脑硬件,网络略懂皮毛。
    偶然的机会有个公司招聘网管,自己就误打误撞的混了进去,后来才知道这还是个新三板上市公司。至于我这水平的怎么能混进来?可能是当时面试的时候人事部的觉的我这人比较实在吧,因为他们问我待遇的时候”我说你们看着给吧,我主要是学东西“其实到了开资的时候一分也没少。然后就是主管带我看了我负责的设备(当时还分不清是交换和路由)然而走进机房的那一刻就懵比了,说实话当时想退缩了,第二天起床就不打算再去了,后来一想大不了就被辞退了,完事开头难还好有个老师叫”baidu“不懂得可以问(其实本人比较偏向于Google的),就这样我的网管之旅算是启程了,每天过的那个充实啊,什么鸡毛蒜皮的小问题也要跑过去搞一下。可能因为当时技术不到家,处理问题慢吧。后来通过一个问题学到了个远程的技术,非硬件问题 远程协助,也就是3389 (是不是挺可笑的,新手勿怪)觉的这个特别方便,不用跑来跑去的了,后来干脆把服务器的3389也开了,维护什么的也方便。当时也没有什么硬件方面的安全防火墙,都是靠免费的软件来防护的。
      下面才说的重点,就在一个风高月黑的夜晚,公司的服务器被入侵了,第二天发现我的server里面多了一个莫名的账户,

1

1
当时以为安装ad控制器自动生成的呢,后来发现服务器共享文件传输过程中严重的卡顿丢包,赶紧去分析了一下那个莫名的帐号 ,然后就发现了这个: psb (1).jpg psb (2).jpg psb (3).jpg psb (4).jpg psb.jpg 百思不得其解啊,怎么会这样?赶紧把3389关掉,用杀软把病毒查杀(一些数据文件什么的已经损坏了)问题仍然得不到改善,而且是一团糟,共用的办公软软件无法正常使用(sql一崩溃 好多搭载sql的系统平台全完了),发帖询问怎么处理,一位老司机告诉我:看你这个图应该是深度植入,无解,只能重新再来一遍。重新做系统 数据库 各种软件平台 顿时头大了,安装都还不是什么问题,你让我去配置软件的数据库。。。。联系服务商吧,差不多弄了半个月基本算是稳定,比较庆幸的是 病毒还没有感染备份数据。你要是问我:造成了多大的损失?我也不知道,从图片上看server入侵后又搭载的了一个ftp服务器,数据肯定被拷贝了。
     以上就是做网管3年遇到最严重的一次事故,还有一些其他的例如局域网office宏病毒 arp工具 带选项的报文攻击 相信这些对大家都是小菜一碟,现在我已经转行了,但我仍然热爱网络这门技术,至于为什么转行,学历有限瓶颈了,不过还是真心的希望大家能在这个道路上越走越远。(文章手打原创,技术也很菜,高手手下留情)

点评

这种情况可以报·警处理了。另外可以分析下系统日志,取证一下  发表于 2016-7-28 23:11

免费评分

参与人数 17吾爱币 +9 热心值 +16 收起 理由
Hiram + 1 + 1 加油
bingshuang2014 + 1 + 1 用心讨论,共获提升!
37274490 + 1 这个你也太大意了。改端口号,密码账号复杂性,最好装个服务器安防软件
wenhoster + 1 + 1 666666
学习打败高富帅 + 1 + 1 热心回复!
xcf812549573 + 1 + 1 热心回复!
362324 + 1 + 1 我也想自学,楼主能说说心得经验吗,自学了半年么?
WYWZ + 1 + 1 已答复!
dxdeng + 1 + 1 用心讨论,共获提升!
小极 + 1 热心回复!
weiian + 1 批量扫3389端口,批量暴力破解登陆密码,黑链产业
1888888 + 1 用心讨论,共获提升!
臭味香头 + 1 兄弟,继续努力.
KaQqi + 1 搞网络安全不容易
chunxiaoone + 1 用心讨论,共获提升!
老虎爱吃素 + 1 新人~再接再厉!
yyakk + 1 入侵你服务器,用你服务器继续入侵其他的机器。。。

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

tzqq7961 发表于 2016-7-28 19:26
看了楼主经历觉得很有感触啊。。。当初去AMD实习就是,刚进去激情满满结果干了2个月发现根本跟不上节奏,跟正式员工差的不是一星半点。。。但是我觉得其实喜欢就干下去好了,什么东西开始都困难。至于后面的内容嘛。。不得不说作为一个网管做的真是有点不实在哈~关端口,杀毒没错,但是数据是命啊~~记得原来看过一篇帖子说的就是一服务器管理员自己开了debug端口没关,结果大半夜就被攻击了,幸亏发现及时没泄露关键数据。。。但是就这样还是给停职查看了。。。劝各位小心啊。。。每天查端口,防火墙运行情况是必须,安全代码最好是每小时更新最差也得30天更新一次吧。。数据无价啊~~
MAXtoDEATH 发表于 2016-7-26 16:45
a1140314368 发表于 2016-7-22 10:28
都什么年代了,入侵者还玩3389弱口令。虽然不可轻视,但是安全意识还是要有所提高的。感谢楼主!

不一定是弱口令,也不一定直接通过3389,现在高端攻击技术都是uaf和溢出,12020和08067就是个神话。。。还有ii5现在的exp就很多,通过telnet和本地提权来拿并不稀奇,所以弱口令和3389啥的真不一定。。。
760085602 发表于 2016-7-22 10:16
田田爱崽崽 发表于 2016-7-22 10:19
不明觉厉
万辉 发表于 2016-7-22 10:20
转行干啥了啊
Mudai- 发表于 2016-7-22 10:20
好牛逼的感觉~
LeiSir 发表于 2016-7-22 10:24
不明觉厉,4个字可以吗?
a1140314368 发表于 2016-7-22 10:28
都什么年代了,入侵者还玩3389弱口令。虽然不可轻视,但是安全意识还是要有所提高的。感谢楼主!
xljhlg 发表于 2016-7-22 10:28 来自手机
看看。。。
cwz 发表于 2016-7-22 10:28
好牛呀,不错。
逍遥一仙 发表于 2016-7-22 10:29
以后发帖应该注意下排版,看着太累了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表