My Server got Hacked :(

اینم یه خاطره ی بد و ترسناک... :(

اول از همه همیشه حواستووون به ترافیک خروجی از سروراتووون باشه، این خیلی مهمه!!!

یه روز دیدم که ترافیک ما از روزای قبل بیشتر شده، فهمیدم از پورت 17 سوییچ اینترنت داره خیلی ترافیک خارج می شه، بعدش رفتم دنبال اینکه ببینم پورت 17 به کدوووم سرورم می خوره، این رو فهمیدم و رفتم تووووی VSphere تا چک کنم ببینم کدووم ماشین هستش که داره اضافه کاری می کنه.

بالاخره پیداش کردم، یه Process به نام svchost.exe که مربوط به خود سیستم عامل هست توی یه ماشینی داشت با نتورک کار سنگین می کرد، تو نگاه اول آدم می گه خوب خود سیستم عامل داره کاراش رو انجام می ده، تازه یوزرشم ASP.NET بود که باعث می شد فکر کنم واسه سایتام هستش ولی بیشتر کانجکاو شدم.

با دستور Compmgmt.msc رفتم یوزرام رو چک کردم، دیدم توووی یووزرام 2 تا یوزر هست که من نساختم، یکی ASP.NET و یکی VMWARE، خیلی ترسناک بود، البته ترسناک ترم شد... :)

توووی Task Manager رفتم توووی تب یوزرام و دیدم که یوزر ASP.NET به سرور وصل هستش، پسوردش رو ریست کردم و بهش وصل شدم، روی دسکتاپ یه ویندوز اپلیکیشنی در حال اجرا بود که اسمش D-Root بود (اینجاش خیلی ترسناک بود)، سریع یوزرهای اضافی رو پاک کردم و رفتم دنبال اینکه این بابا چه جوری اووونده توو سیستم من با توجه به اینکه ریمووت دسکتاپ روی IP ولید بسته بوده.

دیدم که تمام روول های فایروالم پاک شده و فایروال خاموش هستش، بعدش متوجه شدم که یوزرای اضافی دوباره ساخته شدن، اینجا بود که فهمیدم یه اپی روی سیستم در حال اجراست...

فکر کنم یه اپی اووومده روی ماشین من و اول فایروال رو ترکونده و بعدشم یوزر ساخته و بعدشم تمام!!!!!

خلاصه که سرور رو از مدار خارج کردم و دارم بررسیش می کنم ببینم چی بوده.

نتیجه اخلاقی:

1) همیشه حواستوووون به ترافیک خروجی از سرور باشه

2) اگه توووی یوزراتووون، یوزری به نام ASP.NET و VMWARE دیدید شک نکنید که اتک خوردین! :)