河南亿恩服务器再遇黑客攻击

admin

2022年3月21日获客户知悉某网站出现错误，经研究，肉鸡又现该服务器。
出现情况：
1、windows目录下，再现sethc.exe文件，上次被怀疑肉鸡主文件。
2、查询多个近期日期文件。
3、wh.ac.cn网站forum.php被更新。
4、D盘根目录允许Everyone全部权限。
5、Guest用户被激活。
6、除客户网站出现错误提示外，并未发现其它站点被修改。
经检测，多个网站未出现破坏现象，这里感谢黑客未对本服务器数据进行毁灭性破坏，否则损失太可怕了。

弘帝系统出现的故障为：
Error Code: GetBody,Subscript out of range
URL: http://wh.ac.cn/forum.php?mod=viewthread&tid=2947
事后，我们在本地测试，分析原因公布如下：
http://www.hondy.net/?aid=384

应对此次攻击，我们深知该河南服务器仍然存在未明漏洞，导致sethc.exe重生，如果杀灭和监控此木马文件重生，将是测试弘帝安全能力的重要法码。
不过，鉴于我们已经决定抛弃河南亿恩服务商，决定先行安装360安全软件进行临时防治，在未发现问题之因前，我们将加大Hondy.Safe安全软件的监控研发进度，以期未来能进行更好的安全防御危胁防范。
同时，我们也不会向广大客户保密我们的服务器被攻击事实，推动广大客户尽快转移更安全稳定的服务器，从而在未来减少网站新事故发生。

攻击后续：禁止sethc.exe文件后，发现Windows继续提示系统未激活，说明临时激活码无法在盗版Windows中使用，我们只有默声谴责河南亿恩服务商，此次购买激活码后，可能再遇攻击事件，所以极有可能提前终结与河南亿恩服务商的合作，与此服务器提前断缘。
我们也提醒广大客户，使用河南亿恩服务器时，要求提供正版Windows，否则后患无穷。合作4年，2换服务器的苦果，我们帮您验实了河南亿恩技术不行，服务不行，软件还盗版，木马肉鸡横行4年，当然我们是无法判断是否想非法窍取客户数据故意而为之。

攻击后续：
2022年3月22日 通过360发现DLL C:\Windows\Syswow64\inetsrv\five.dll 未能加载。文件存在木马删除后，所有网站显示Service Unavailable
经研究，再发现brother.dll文件也无故添加到配置中，通过IISADMIN模块功能删除five.dll与brother.dll后，仍无效，进入system32/inetsrv/config/applicationHost.config，删除five.dll与brother.dll引导文件，重启服务器救活IIS，最终将已发现的木马全员干掉。经研究，也可以通过IIS模块项删除five.dll与brother.dll文件的引用。
由于以上文件日期为2011年，所以我们无法获知还有没有其它漏洞和潜伏木马文件，再次验证河南亿恩服务商给客户大量使用深藏木马和病毒的服务行为太恶劣。

admin

2022年4月21日河南亿恩服务器再现病毒，故障如前，不再解释。
处理办法：
由于客户网站大多已经转移，目前只剩下不到20个网站，现已决定躺平，任由病毒胡来，只要发现即立即清除处理，一般不会超过当天。
同时，下载360安全卫士进行截杀，防止病毒再生。
暂无心针对该服务器安全进行研究，因为前两次对抗斗争中已经败下阵来，无法找到核心原始病毒文件，精力有限，只有躺平，等待服务器到期弃用。
另外，我对星外主机管理系统感到怀疑，主要原因是星外已不存在，倒卖给了小鸟云，弘帝已经自研开发了主机管理系统，不再续约小鸟云，我想：会不会小鸟云在暗操作？只是怀疑，没有实锤。
总之：广大客户尽快转移新的无毒服务器。