新弄的香港VPS被黑客入侵，特此记录

昨天： 远程时，发现VPS的某个进程异常： VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。 于是写了简单的文章记录了下： 虽然知道这进程不正常，但是这进程信息非常少，只能结束掉处理。 今天： 又上去看了一下，突然看到这进程又占了1G虚拟内存。 更一看

昨天：

远程时，发现VPS的某个进程异常：VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下： 

虽然知道这进程不正常，但是这进程信息非常少，只能结束掉处理。 

今天： 

又上去看了一下，服务器空间，突然看到这进程又占了1G虚拟内存。

更一看，发现存在数字型的进程名称，一看就知道服务器中扫了，挂了。

 

于是发现了：

1：任务管理器里的连接用户，多了一个陌生的user正在链接，我二话不说就断开该用户的链接，注销该账号的链接。

2：在计算机管理-本地用户组里，发现了4-5个被新建的账号，一一删除了。

3：进程里N个陌生进程，结束了，包括多个cmd.exe，多个ntsd.exe。

进程文件： ntsd or ntsd.exe

进程名称： Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000（Microsoft Windows XP）系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用，用来强制结束杀毒软件进程。

4：查看系统服务，竟然有四五个进程，系统级别的，网站空间，还无法直接停止的那种：

 

5：查看了C盘，香港服务器，一堆牛B的工具存在，从修改日期看，好像中招几天了：

 

究竟黑客是从哪入侵的？

我查了事件日志，发现没有登陆连接日志。

于是我开始了以下猜测：

1：VPS不正常的那个进程有漏洞？

2：服务器有补丁没更新？（vps新弄时，我就把自动更新给停了）

3：网站？

4：数据库？

 

问题1：VPS的XenGuestAgent.exe进程 引发的？

人家提供商说：

几百台VPS在运行，要是VPS的虚拟进程有问题，那肯定是一堆受到入侵，不会是你单独一个。

说的很有理，好像这么一回事，但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

 

问题2： 服务器有补丁没更新？（vps新弄时，我就把自动更新给停了）

由于我vps操作系统运行时就把补丁更新给停了，于是我问vps提供商：

自带的操作系统，默认补丁都打上的吧。

对方回复：补丁打到上系统的那天，新的香港VPS上了半年，补丁也就是半年前。

我想：win2003都N年前的系统，老一辈的漏洞补丁早就补了，半年里应该没啥新漏洞，有估计也是难度很高的，一般真黑客怎么会弄这么个vps这么有难度。

 

问题3：网站？

网站数据库操作用的CYQ.Data，基本所有操作都有强过滤系统，SQL注入不存在。

倒是本人开了个后台sqlexe页面，不过页面也改过名字，虽然可以执行任意语句，不过页面名称只有自己知道，执行前也需要新的密码，我还特意执行了一条：

 

抛异常，看来默认sp4也做了相应功课：

 

4：数据库？

突然意识到什么，这个vps放了个临时站，数据库没弄什么权限，连sa的密码也是弱口令，到数据库一看，果然中招了：

 

好像这黑客给我留了这个账号提示，不然真要猜死人~~~~

大体得到了黑客入侵的入口：SA弱口令，从这里为突破口入侵了。

好了，特此记录，晚点该重装系统了。