昨天：

遠端時，發現VPS的某個程序異常：VPS的XenGuestAgent.exe程序竟然吃了1G虛擬記憶體。

雖然知道這程序不正常，但是這程序資訊非常少，只能結束掉處理。 

今天： 

又上去看了一下，突然看到這程序又佔了1G虛擬記憶體。

更一看，發現存在數字型的程序名稱，一看就知道伺服器中掃了，掛了。

於是發現了：

1：工作管理員裡的連線使用者，多了一個陌生的user正在連結，我二話不說就斷開該使用者的連結，登出該賬號的連結。

2：在計算機管理-本地使用者組裡，發現了4-5個被新建的賬號，一一刪除了。

3：程序裡N個陌生程序，結束了，包括多個cmd.exe，多個ntsd.exe。

程序檔案： ntsd or ntsd.exe

程序名稱： Symbolic Debugger for Windows 。ntsd.exe是Microsoft Windows 2000（Microsoft Windows XP）系統自帶的使用者態除錯工具。可用它結束掉除System、SMSS.EXE、CSRSS.EXE以外的所有程序。該程式經常被病毒利用，用來強制結束防毒軟體程序。

4：檢視系統服務，竟然有四五個程序，系統級別的，還無法直接停止的那種：

5：查看了C盤，一堆牛B的工具存在，從修改日期看，好像中招幾天了：

究竟黑客是從哪入侵的？

我查了事件日誌，發現沒有登陸連線日誌。

於是我開始了以下猜測：

1：VPS不正常的那個程序有漏洞？

2：伺服器有補丁沒更新？（vps新弄時，我就把自動更新給停了）

3：網站？

4：資料庫？

問題1：VPS的XenGuestAgent.exe程序 引發的？

人家提供商說：

幾百臺VPS在執行，要是VPS的虛擬程序有問題，那肯定是一堆受到入侵，不會是你單獨一個。

說的很有理，好像這麼一回事，但是XenGuestAgent.exe為啥佔這麼大虛擬記憶體沒人能解釋。

問題2： 伺服器有補丁沒更新？（vps新弄時，我就把自動更新給停了）

由於我vps作業系統執行時就把補丁更新給停了，於是我問vps提供商：

自帶的作業系統，預設補丁都打上的吧。

對方回覆：補丁打到上系統的那天，新的香港VPS上了半年，補丁也就是半年前。

我想：win2003都N年前的系統，老一輩的漏洞補丁早就補了，半年裡應該沒啥新漏洞，有估計也是難度很高的，一般真黑客怎麼會弄這麼個vps這麼有難度。

問題3：網站？

網站資料庫操作用的CYQ.Data，基本所有操作都有強過濾系統，SQL注入不存在。

倒是本人開了個後臺sqlexe頁面，不過頁面也改過名字，雖然可以執行任意語句，不過頁面名稱只有自己知道，執行前也需要新的密碼，我還特意執行了一條：

拋異常，看來預設sp4也做了相應功課：

4：資料庫？

突然意識到什麼，這個vps放了個臨時站，資料庫沒弄什麼許可權，連sa的密碼也是弱口令，到資料庫一看，果然中招了：

好像這黑客給我留了這個賬號提示，不然真要猜死人~~~~

大體得到了黑客入侵的入口：SA弱口令，從這裡為突破口入侵了。

好了，特此記錄，晚點該重灌系統了。