新弄的香港VPS被黑客入侵，特此记录

远程时，发现VPS的某个进程异常：VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。

于是写了简单的文章记录了下： http://www.cyqdata.com/cyq1162/article-detail-54353

虽然知道这进程不正常，但是这进程信息非常少，只能结束掉处理。 

今天： 

又上去看了一下，突然看到这进程又占了1G虚拟内存。

更一看，发现存在数字型的进程名称，一看就知道服务器中扫了，挂了。

 

于是发现了：

1：任务管理器里的连接用户，多了一个陌生的user正在链接，我二话不说就断开该用户的链接，注销该账号的链接。

2：在计算机管理-本地用户组里，发现了4-5个被新建的账号，一一删除了。

3：进程里N个陌生进程，结束了，包括多个cmd.exe，多个ntsd.exe。

进程文件： ntsd or ntsd.exe

进程名称： Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000（Microsoft Windows XP）系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用，用来强制结束杀毒软件进程。

4：查看系统服务，竟然有四五个进程，系统级别的，还无法直接停止的那种：

 

5：查看了C盘，一堆牛B的工具存在，从修改日期看，好像中招几天了：

 

究竟黑客是从哪入侵的？

我查了事件日志，发现没有登陆连接日志。

于是我开始了以下猜测：

1：VPS不正常的那个进程有漏洞？

2：服务器有补丁没更新？（vps新弄时，我就把自动更新给停了）

3：网站？

4：数据库？

 

问题1：VPS的XenGuestAgent.exe进程 引发的？

人家提供商说：

几百台VPS在运行，要是VPS的虚拟进程有问题，那肯定是一堆受到入侵，不会是你单独一个。

说的很有理，好像这么一回事，但是XenGuestAgent.exe为啥占这么大虚拟内存没人能解释。

 

问题2： 服务器有补丁没更新？（vps新弄时，我就把自动更新给停了）

由于我vps操作系统运行时就把补丁更新给停了，于是我问vps提供商：

自带的操作系统，默认补丁都打上的吧。

对方回复：补丁打到上系统的那天，新的香港VPS上了半年，补丁也就是半年前。

我想：win2003都N年前的系统，老一辈的漏洞补丁早就补了，半年里应该没啥新漏洞，有估计也是难度很高的，一般真黑客怎么会弄这么个vps这么有难度。

 

问题3：网站？

网站数据库操作用的CYQ.Data，基本所有操作都有强过滤系统，SQL注入不存在。

倒是本人开了个后台sqlexe页面，不过页面也改过名字，虽然可以执行任意语句，不过页面名称只有自己知道，执行前也需要新的密码，我还特意执行了一条：

 

抛异常，看来默认sp4也做了相应功课：

 

4：数据库？

突然意识到什么，这个vps放了个临时站，数据库没弄什么权限，连sa的密码也是弱口令，到数据库一看，果然中招了：

 

好像这黑客给我留了这个账号提示，不然真要猜死人~~~~

大体得到了黑客入侵的入口：SA弱口令，从这里为突破口入侵了。

好了，特此记录，晚点该重装系统了。 

版权声明：本文原创发表于博客园，作者为路过秋天，原文链接：

http://www.cnblogs.com/cyq1162/archive/2013/04/15/3022465.html

云服务器遭DDoS攻击被封堵的解决方法 今天给大家分享一下云服务器遭大流量DDoS攻击被封堵的解决方法，服务器封堵时间到预计解封时间太长了导致业务中断，企业用户可以申请应急服务，那么个人用户怎么办？本文将详细讲解下腾讯云服务器遭受大流量DDoS攻击被封堵的解决方法。
网站被黑客敲诈勒索的处理办法 我有个好兄弟也是做程序代码的，他前天突然跟我说他之前接的一个私活网站，突然被黑客入侵了，拿着数据库管企业老板要挟要钱，不给钱的话说要把数据全删了，因为我本身就是做网站漏洞修复的服务商，有安全漏洞的问题，好兄弟都会想到我，他很奇怪，因为用的mysql数据库，数据库3306那个端口没对外开放，怎么会被人把这个数据库入侵了，我一猜我就说那肯定是这个数据库被别人Sql注入漏洞攻击了。通过了解知道网站用的是PHP脚本开发的，因为目前PHP很多源码都是存在一些漏洞的。
企业网站被入侵挂马怎么解决 各位小伙伴们大家好。今天给大家分享一个事情，就是我客户的企业小站被黑客挂马了，那现在是2022年的2月初假期期间平时也不怎么打开那个小站，好，在2月2号的时候闲来无事点开看一看，发现点开网页的时候，就在首页的那里就卡顿了一下，因为网站用了CDN加速，按理说应该不会卡的，那我第一想到的就是情况不太妙，然后我就就这样右键查看了一些源代码，发现在在title标签这里多了一个不明的js链接，那我第一想到的就是黑链、菠菜或者是给其他的网站挂链接，增加它的网站权重，虽然说网站很小，但每天还有几百个IP，毕竟是通过优化排名做上去的。
ECS被攻击中毒沦为矿机的修复过程 近期，登录阿里云官网购买的服务器，看到云安全中心分数非常低，查看了“安全告警处理”，发现疑似受到了攻击。 于是，跟挖矿病毒的一场博弈开始了。
企业网站遭遇黑客攻击 如何快速查找漏洞原因 好多企业网站遭遇黑客攻击，像黑客入侵在互联网只要有数据网络，就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站，从而任意地读取或篡改目标的重要数据，又又或者使用目标系统软件上的功能模块，比如对手机的麦克风开展监听，开启对方摄像头开展监控，使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货币，使用目标设备的网络带宽能力发动CC并发攻击方式其他人等等。又或者是破解了一个数据库服务器的密码，进去查看敏感数据信息、远程操作门禁/红绿灯。以上这种都属于经典的黑客入侵场景。
企业网站如何防止被黑客入侵 企业官网和个人网页都不可以忽略网站安全问題，一旦一个网站被黑客入侵，忽然来临的网站安全问題会给网站产生致命性的伤害。为了避免网站安全问題的产生，人们能够采用一些必需的对策，尽量减少网站被黑客攻击。下边是几个一定要了解的网站安全防范措施的详细描述。
不想备案所以想买个美国主机，听说美国的比较慢？ 不想备案所以想买个美国主机，听说美国的比较慢？ 随着美国主机市场普及率增高，美国主机使用过程中出现的问题也让更多企业和朋友感到烦恼，某些用户在使用美国主机时可能感觉网络速度变慢，变卡等状况。那么哪些因素会导致美国主机速度慢呢?阿里云在此为您作简单介绍。