记一次老Y文章管理系统被黑处理方法

作者: Darren 分类: 网站小问题 发布时间: 2017-05-08 16:59

最近由于国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,我的服务器不幸运中招。服务器是腾讯云的。

服务器是windows2008R2企业版的,iis跑Asp老Y文章管理系统。被黑后的服务器进不去,连腾讯云的后台VNC登录也进不去。只能提交工单,然后腾讯云工程师逼逼半天,才搞明白是explorer.exe这个程序被破坏了,这个程序就是桌面资源管理器。cmd.exe还是可以用的。但是我不会啊!(要是linux我还会啊。)

然后那个腾讯云工程师,移交高级工程师,然后那个工程师把我这个盘备份一下,最后给我一个FTP地址,我草,还是内网的地址,需要本账号的本地区的,实例才能连接上。

没办法只能开通一个,按量付费的,我把宽带调到100M,反正你开1M也是1G/0.8元,100M也是,我也奢侈一回。开通好后,就是下载FTP工具,最后下载HFS工具把数据传回本地。数据取回来了。

最后就是检查程序,有没有挂马,我也懒得检查,直接官方下载新程序,最后覆盖这重要几个文件data、admin/cai/Database、uploadfiles、当然,我还有httpd还有robots、sitemap。如果二次开发可能还需要其他,我的还有包括手机版的。最主要是前面这三个文件。

最后查杀一下在查杀一下,这个三个目录。自己检查一下,如果没有问题,基本是没有问题。

最后吐槽一下安全狗漏洞修复真的不怎么样。当然还有我一部分原因。可能我还有一些安全配置不到位。