Saya memiliki mesin Windows Server 2003 SP2 dengan IIS6, SQL Server 2005, MySQL 5 dan PHP 4.3 diinstal di dalamnya. Ini bukan mesin produksi, tetapi mesin ini terpapar dunia melalui nama domain. Remote desktop diaktifkan di mesin dan dua akun administratif aktif di dalamnya.
Pagi ini saya menemukan bahwa mesin telah log off dengan nama pengguna uknown masih dalam kotak teks login. Setelah penyelidikan lebih lanjut saya telah menemukan bahwa dua pengguna windows telah dibuat, anti-virus telah dihapus dan beberapa file .exe telah jatuh ke drive C :.
Yang ingin saya ketahui adalah, langkah apa yang harus saya ambil untuk memastikan bahwa ini tidak terjadi lagi, dan area yang harus saya fokuskan untuk menentukan jalan masuk. Saya sudah memeriksa netstat -a untuk melihat port mana yang terbuka, dan tidak ada yang aneh di sana. Saya memang menemukan file yang tidak dikenal di folder data untuk MySQL yang saya pikir mungkin menjadi titik masuk tetapi saya tidak yakin.
Saya sangat menghargai langkah-langkah untuk melakukan post-mortem yang baik dari peretasan server sehingga saya dapat menghindari ini di masa depan.
Kaji Ulang Investigasi
Setelah diselidiki, saya menemukan apa yang terjadi. Pertama mesin belum online selama jangka waktu Agustus '08 hingga Oktober '09. Selama kerangka waktu itu ditemukan kerentanan keamanan, Kerentanan MS08-067 . "Ini adalah kerentanan eksekusi kode jarak jauh. Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat mengambil kendali penuh dari sistem yang terkena dampak dari jarak jauh. Pada sistem berbasis Microsoft Windows 2000, berbasis Windows XP, dan Windows Server 2003, penyerang dapat mengeksploitasi kerentanan ini atas RPC tanpa autentikasi dan dapat menjalankan kode arbitrer. " Kerentanan ini diperbaiki dengan Pembaruan Keamanan KB958644 yang keluar pada Oktober 2008.
Karena mesin sedang offline pada saat itu dan ketinggalan pembaruan ini, saya percaya bahwa kerentanan ini dieksploitasi segera setelah mesin kembali online pada bulan Oktober '09. Saya menemukan referensi ke program bycnboy.exe yang telah digambarkan sebagai program backdoor yang kemudian menciptakan banyak kekacauan pada sistem yang terinfeksi. Segera setelah mesin online, pembaruan otomatis memasang tambalan yang menutup kemampuan untuk memiliki kendali jarak jauh sistem. Karena pintu belakang sekarang ditutup, saya percaya bahwa penyerang kemudian membuat akun fisik pada mesin dan dapat menggunakan mesin selama seminggu lagi sampai saya perhatikan apa yang terjadi.
Setelah secara agresif membersihkan kode berbahaya, .exes, dan .dlls, menghapus situs web hosting sendiri dan akun pengguna, mesin sekarang lagi dalam keadaan berfungsi. Untuk waktu dekat saya akan memonitor sistem dan meninjau log server untuk menentukan apakah pengulangan dari insiden tersebut terjadi.
Terima kasih atas informasi dan langkah-langkah yang diberikan.