最近幾個月,開發團隊出現了莫名其妙的問題,開發的伺服器經常莫名其妙宕機,然後無法啟動。由於伺服器是windows2003的系統,然後做了raid1的陣列。每次宕機後,用2003啟動盤啟動電腦後無法看到那個「該死的陣列」。把硬碟拆到別的電腦上看到的是乙個超大分割槽490多gb,根本無法通過簡單的辦法把資料拿出來。
心想,反正還有備份,直接格式化重灌。。。。
就這樣,宕機一次,重灌一次,被折磨了幾個月後,我終於忍不住了,一定要把這個問題查清!
到底什麼原因導致了「windows2003的伺服器莫名奇妙的死掉」。
首先是懷疑伺服器裡安裝的軟體有問題,因為大多是d版的,因此很難判斷是不是d板軟體裡有木馬、病毒、惡意程式等。
軟體是換掉了,沒過幾天,伺服器又死了,真是把我們氣瘋了。 **來的問題呢?不過這次好在好點是發現的及時。
開始2~3分鐘,團隊內部有人報告「資料突然消失了」,我們裡面在mssql的查詢分析器裡輸入 select * from 檢視,果然所有表的資料【意外消失】了。
3~5分鐘後,團隊有人報告「資料表突然消失了」,我們立即檢視,果然「table表」全部被「乾掉了」。
在接下來的幾分鐘內,資料庫的儲存過程、檢視、函式、。。。。反正能「消失的」的都消失了。。。。
。。。。慢慢的。。。開始發現d盤、e盤、c盤的檔案開始「消失了」。。。。
終於。。。伺服器黑屏了。。。。
oh my god!
上帝召喚了。。。。
又一次中招了。。。
我們在乙個月內就這樣被折騰了幾次,結果仔細分析。首先可以排除是自己人幹的,比較我對團隊所有的成員都是非常的信任,相信他們沒有必要這麼做。
那麼,攻擊可能是外部的了。但是我們團隊採用的是nat上網,也就是外面的「黑客」不可能進入到伺服器攻擊的。
那麼,只可能是內部有「肉雞了」。
想到這裡,突然間對所有的防毒軟體、安全助手失望了,,,,,,「枉我那麼信任你們,你們居然沒有發現------木馬、殭屍、病毒。。。。」
因此,我們開始對伺服器進行了簡單改造,安裝了「網路資料報抓包工具」。。。懷著僥倖的心理,希望可以抓到點什麼。。。
抓包程式安裝完畢了,時間1分鐘1分鐘的過去了。。。。團隊成員還是一如既往的開發著程式。。。。。。
1個小時過去了,大約快到10:30 左右, 我的預感告訴我,【它】可能要來了。。。。突然間,「資料表消失了」。。。。。。。
團隊成員異常振奮,【它】來了。。
我以最快的速度把「capture的資料檔案」複製到u盤裡,迅速拔離伺服器。在1分鐘之內完成了,capture的資料檔案複製到我早已經準備好的「筆記本」電腦上了。
就像實驗室裡發現了新元素,馬上開始化學分析一樣。。。。
上圖是2023年5月2日的那天,勞動節剛剛收假。。
通過「問題的跡象」,我們初步判斷,可能和mssql資料庫的漏洞有關。。。順著這個思路,我們開始對「樣本」進行了分析。果然在13000多行的訪問記錄裡找到「蛛絲馬跡」。
通過【發現問題的時間】對應了資料報的日誌,我們初步判斷,在一時間段與服務打交道的是「tds協議」,因此進行了tds過濾,把範圍縮小。
用tds進行過濾。。。(通過查詢相關文件得知的,mssql的資料傳輸協議是tds協議,微軟自家的標準)
通過抓包工具,我們深切的發現了ms sql2005 資料庫是相當的不安全,所有的sql語句在網路上居然是「明文傳輸」
當然,既然在網路資料報裡發現了「sql語句執行的痕跡」,那麼會不會有其他發現呢?追隨這個思路,我們對資料報記錄1行1行的進行查閱。
終於被我們發現了以下內容:
在這1時間段, 192.168.0.20的電腦在發廣播,詢問 201在**。 而201正是我們的「mssql伺服器」
當然,詢問201在**,並能作為是「犯罪的證據」。。。
在接下來的資料報分析中, 取得了重大突破。
我們在192.168.0.20 這個電腦上發現了這3個檔案,開啟後。內容令我們震驚。。。。它居然就是「乾掉資料庫的」「傻瓜指令碼」。
其次,在對資料報的分析中,我們也發現了這個指令碼執行的痕跡。。。
上面的系列截圖沒有貼出,具有破壞力的那3個資料報的截圖, 感興趣的朋友可以自己做實驗抓圖試試!
結果了1早上的折騰,基本查到了「對方」是怎麼攻擊我的伺服器了。 也知道他耍了什麼手段。
不過遺憾的是,沒有辦法追溯到源頭。。。。因為網路裡還缺少了「網路日誌」伺服器。
通過這一次事件,我們吸取到了很多經驗、教訓!
不過,最最重要的還是「經常做資料備份」!並且「資料備份最好備份到【其它地方】,不要備份在同乙個地方」。
誰動了我的乳酪?
借用一下這個名字,表達一下自己的人生感悟。對於未知世界,對新生事務,人總是表現出一些恐懼心理。比如開車在路上走,總是願意走最熟悉的道路,哪怕明知道會繞的更遠一些。就像今天,明明已經看到了指示牌標示著目的地,還是沒有打方向轉過去的勇氣,因為很怕不小心誤入了歧途。其實,會有歧途,走錯了,大不了多繞一點路...
《誰動了我的乳酪》
誰動了我的乳酪 斯賓塞 詹森 芝加哥的同學聚會 芝加哥乙個陽光明明媚的星期天,許多過去在學校曾是 好朋友的同班同學聚在一起搞午餐會。前一天晚上,他們剛參加完全體高中同學的聚會。在一陣打鬧嬉笑和豐盛和午餐後,他們坐下來開始了饒有興致的交談,希望 彼此多了解一些分別後的生活經歷。安傑拉曾是班上最受歡迎的...
誰動了我的乳酪?
哈佛和mit的edx專案震撼了整個教育界。edx的計畫是發布這兩所頂級大學的課程並授予證書。只需要網上上課,就有一張哈佛的證書,聽起來多棒!雖然暫時edx並不授予學位證書,但遐想的空間似乎是無限的。地球上的兩所最好的大學開始承認網路教育。這是網路教育的乙個里程碑。要知道,大學一向認為高等教育是自己的...