問:服務器MySQL數據庫 不知道被什么方式入侵 留下了創建程序文件 通過系統的certutil.exe 文件 植入病毒 請幫忙排查下 127.0.0.1服務器,服務器MySQL數據庫 不知道被什么方式入侵 留下了創建程序文件
答:您好,我司查看您提供截圖信息,您服務器上安裝的是phpstudy環境,應該是利用phpstudy漏洞對服務器進行入侵,如需我司協助排查,請您通過vps/云主機提交問題,以便我司核實,非常感謝您長期對我司的支持!
問:jiediantech.get.vip 網站怎么無法訪問
答:您好,查看您的站點程序連接的其他地方的mysql數據庫,目前檢測該服務器的mysql數據庫服務異常,請核實檢查.建議將數據庫數據備份導入我司數據庫后,修改程序文件/data/common.inc.php中的數據庫連接信息,非常感謝您長期對我司的支持!
問:自從你們上次更換了機房線路,我這上面的服務器好象就接連受到攻擊了。昨天和今天MYSQL都是直接被停止,都是手動重啟遠程服務器才正常。其次,遠程桌面也完全被控制了,圖二圈紅的是第三方不知人士登錄我們服務器放于桌面的文件。
答:您好,
1. 15:59:54 1632 [Note] D:\\xampp\\mysql\\bin\\mysqld.exe: Normal shutdown 8:34:06 1568 [Note] D:\\xampp\\mysql\\bin\\mysqld.exe: Normal shutdown請問是您自己操作的停止mysql服務嗎?應該是mysql服務進程死掉了,所以無法正常關閉,不需要重啟服務器,您打開任務管理器,結束掉mysql進程,然后再啟動即可;2.您的服務器一直是智能多線路,不太明白您所說的我司更換線路是什么什么情況,服務器沒有過機房轉移機房,線路更換記錄,服務器物理地址一直在四川綿陽;3.桌面上的文件,早在5月份就有了,且里面是sql文件,您看下是不是您自己的數據庫文件,不太像是黑客放的文件,且伴您排查了服務器系統沒有被入侵的痕跡,非常感謝您長期對我司的支持!
問:因為前兩天有用戶直接在我們網站上下了訂單,然后他可以自行在后臺修改訂單價格,有黑客登錄是肯定的,但是不確定他是通過何種方式攻擊的。
答:您好,從您的描述看更像是程序上的漏洞,服務器目前沒有發現入侵痕跡,您可以開啟web日志記錄,這樣才能跟蹤對方下單訪問各頁面等一些列操作,非常感謝您長期對我司的支持!
問:有沒有啥軟件裝在服務器做個監控或者攔截什么之類的建議嗎?因為我們公司沒有特別專業的人員!謝謝
問:現在MYSQL又死掉了,如你說的:“不需要重啟服務器,您打開任務管理器,結束掉mysql進程,然后再啟動即可;”,,還是沒用。就是卡死
問:無法結束進程,結束了還是一樣的情況。
答:您好,核實進程無法結束,目前我司虛擬主機和其他用戶也有反饋類似情況,均出現在近3天內,目前我們懷疑是這兩天微軟的補丁造成,您先把7月11號安裝的補丁卸載掉重啟觀察下還有沒有進程卡死的現象,非常感謝您長期對我司的支持!
問:這些7月11號的都刪除嗎?是如何刪除補丁的?
答:您好,
您將截圖中的這個補丁刪除并重啟服務器,然后再測試訪問看看是否正常。非常感謝您對我司的支持,謝謝!
問:我們網站是用PHP開發的,不是.NET,,你上面的替代代碼,不是很理解呢
答:您好,
最好將11日左右安裝的補丁全部卸載,然后再測試觀察看看是否還存在相同的問題。進程卡死并且無法手工結束這個問題我們也在查原因,如果有更好的處理步驟我們會告知用戶。非常感謝您對我司的支持,謝謝!
問:MYSQL還是無法重啟
問:現在是只要數據庫一寫入,就卡死,也無法重啟!這個問題你們必須及時解決,不然誰受的了
問:
答:您好,
kb:補丁還在,我們已經幫您卸載了這個補丁并且重啟了服務器。您現在再嘗試看看是否正常,非常感謝您對我司的支持,謝謝!
