所在位置:首页 > 游戏问答 > 记一次挺逗的溯源追踪案例(追到熟人)

记一次挺逗的溯源追踪案例(追到熟人)

发布时间:2024-01-31 14:05:17来源:头条浏览:0

本文由南丁格尔最后编辑于20年5月31日11点13分。

回到正题,不要倒水,这样我可以随时回答你的问题。

简介

有一天,一个朋友打电话来问我是否还记得上次的渗透测试,然后QQ给我发了一份上次的报告,询问原因。原本做的一个项目被入侵了,黑客修改了管理员账号的密码,安装了云锁防止管理员登录。

这份报告的漏洞之一可能会危及系统安全,即他们开发的系统存在SQL注入漏洞,他们使用sa作为数据库连接帐户,并且他们没有被降级,因此他们很可能心中有对方的入侵轨迹,因此有必要证明这一点。

第二天下午,朋友到达目的地,取出硬盘。反渗透已经开始。

开始

服务器安装配置如下:

360全家桶

安全狗家庭桶

首先要检查的是系统日志:

如你所见,日志已被删除并仔细处理过,但仍有线索。尽管日志已被清除,但他最后一次登录和注销仍未被清除。

客户:A90B90

IP地址:0.191.100.119

如您所见,Guest帐户用于登录。然后继续查看,既然安装了云锁,那我们就去云锁查看一下最近的登录日志。

关于云锁的有用信息非常少,但它也有助于我们确认访客用户确实被黑客修改过。我们正在用D防护罩检查它。

扫描网站中的特洛伊木马。

经过长时间的调查,没有发现可解析的脚本特洛伊。看来工作已经完成了。

在帐户中发现一个克隆帐户。

都是他妈的克隆的。(您为什么更改了Mao管理密码?没什么可找的,没什么可做的?你能不能不要这么淘气?)

暂时没有在网络上发现木马。那就继续找。如果是d盾呢?

所以检查修改时间。

显示未找到符合条件的项目。

20年5月22日、20年5月23日、20年5月24日以及入侵附近的时间。

结果显示,他们都没有。所以继续吧。

通过云锁检查外链。(主要调查:动态和静态寄生虫)

如图所示,没有外链。

然后我检查了系统保护日志。

雄猫?那么会不会是ST2命令执行中的漏洞呢?因为网络没有发现特洛伊木马。所以这可能是直接的权利?

从网络通信中检查

Through Statistics Netherlands

但我打开了运行输入命令。

我不敢相信我也删除了cmd所以我自己发了一个CMD。

然后执行netstat -ano。

图像名称PID服务【/p】【/TD】【/tr】

[tr][td]=================================================================[/td][/tr]

System idle process 0 is temporarily absent [/TD] [/tr]

[TR] [TD] System 4 is temporarily unavailable [/TD] [/TR]

【tr】【TD】短信服务。exe 328暂缺[/td][/tr]

【tr】【TD】csrss。exe 400暂缺【/TD】【/tr】

【tr】【TD】wininitexe 452暂缺[/td][/tr]

【tr】【TD】csrss。exe 464暂缺【/TD】【/tr】

【tr】winlogon。exe 504暂缺[/td][/tr]

【tr】服务。exe 552暂缺【/TD】【/tr】

[tr][td]lsass.exe 560 SamSs[/td][/tr]

【tr】LSM。exe 568暂缺【/TD】【/tr】

[tr][td]svchost.exe 664 DcomLaunch, PlugPlay, Power[/td][/tr]

[tr][td]svchost.exe 764 RpcEptMapper, RpcSs[/td][/tr]

[tr][td]svchost.exe 860 Dhcp, eventlog, lmhosts[/td][/tr]

[tr][td]svchost.exe 912 AeLookupSvc, BITS, CertPropSvc,[/td][/tr]

[tr][td] IKEEXT, iphlpsvc, LanmanServer,[/td][/tr]

[tr][td] Schedule, seclogon, SENS, Sessio[/td][/tr]

[tr][td] ShellHWDetection, Winmgmt[/td][/tr]

[tr][td]svchost.exe 972 EventSystem, FontCache, netprofm[/td][/tr]

[tr][td]svchost.exe 1020 Netman, UmRdpService, UxSms[/td][/tr]

[tr][td]ZhuDongFangYu.exe 360 ZhuDongFangYu[/td][/tr]

[tr][td]svchost.exe 416 CryptSvc, Dnscache, LanmanWorkst[/td][/tr]

[tr][td] NlaSvc, WinRM[/td][/tr]

[tr][td]svchost.exe 272 BFE, DPS, MpsSvc[/td][/tr]

[tr][td]svchost.exe 1124 AppHostSvc[/td][/tr]

[tr][td]aspnet_state.exe 1164 aspnet_state[/td][/tr]

[tr][td]svchost.exe 1292 DiagTrack[/td][/tr]

[tr][td]d_manage.exe 1328 D_Safe[/td][/tr]

[tr][td]sqlservr.exe 1412 MSSQLSERVER[/td][/tr]

[tr][td]SMSvcHost.exe 1564 NetPipeActivator, NetTcpActivato[/td][/tr]

[tr][td] NetTcpPortSharing[/td][/tr]

[tr][td]SafeDogUpdateCenter.exe 1772 Safedog Update Center[/td][/tr]

[tr][td]CloudHelper.exe 24 SafeDogCloudHelper[/td][/tr]

[tr][td]sqlwriter.exe 2348 SQLWriter[/td][/tr]

[tr][td]TeamViewer_Service.exe 2380 TeamViewer[/td][/tr]

[tr][td]UVPUpgradeService.exe 2744 UVPGrade[/td][/tr]

[tr][td]uvpmonitor.exe 2776 UVPMonitor[/td][/tr]

[tr][td]svchost.exe 2808 W3SVC, WAS[/td][/tr]

[tr][td]SQLAGENT.EXE 3076 SQLSERVERAGENT[/td][/tr]

【tr】【TD】骗子主持人。exe 3568暂缺[/td][/tr]

【tr】uvpvssreq。exe 3968暂缺【/TD】【/tr】

【tr】【TD】骗子主持人。exe 3984暂缺【/TD】【/tr】

[tr][td]fdlauncher.exe 2952 MSSQLFDLauncher[/td][/tr]

[tr][td]svchost.exe 1544 TermService[/td][/tr]

[tr][td]svchost.exe 12 PolicyAgent[/td][/tr]

【tr】【TD】FD主机。exe 4256暂缺【/TD】【/tr】

【tr】【TD】骗子主持人。exe 4264暂缺【/TD】【/tr】

[tr][td]msdtc.exe 4772 MSDTC[/td][/tr]

【tr】任务主机。exe 4608暂缺【/TD】【/tr】

[tr][td]dwm.exe 5104 暂缺[/td][/tr]

[tr][td]explorer.exe 4176 暂缺[/td][/tr]

[tr][td]Everything.exe 4244 暂缺[/td][/tr]

[tr][td]HwUVPUpgrade.exe 3112 暂缺[/td][/tr]

[tr][td]360DesktopLite64.exe 1644 暂缺[/td][/tr]

[tr][td]TeamViewer.exe 908 暂缺[/td][/tr]

[tr][td]tv_w32.exe 2480 暂缺[/td][/tr]

[tr][td]tv_x64.exe 4844 暂缺[/td][/tr]

[tr][td]HaozipSvc.exe 5008 HaoZipSvc[/td][/tr]

[tr][td]spoolsv.exe 5876 Spooler[/td][/tr]

[tr][td]SunloginClient.exe 3376 暂缺[/td][/tr]

[tr][td]SunloginClient.exe 3308 SunloginService[/td][/tr]

[tr][td]SunloginClient.exe 3212 暂缺[/td][/tr]

[tr][td]360bdoctor.exe 5216 暂缺[/td][/tr]

[tr][td]yshttp.exe 2604 暂缺[/td][/tr]

[tr][td]yshttp.exe 5100 暂缺[/td][/tr]

[tr][td]conhost.exe 3520 暂缺[/td][/tr]

[tr][td]yshttp.exe 4064 暂缺[/td][/tr]

[tr][td]yshttp.exe 3388 暂缺[/td][/tr]

[tr][td]conhost.exe 340 暂缺[/td][/tr]

[tr][td]360tray.exe 2620 暂缺[/td][/tr]

[tr][td]SoftMgrLite.exe 3512 暂缺[/td][/tr]

[tr][td]yunsuo_agent_service.exe 6884 YunSuoAgent[/td][/tr]

[tr][td]yunsuo_agent_daemon.exe 8064 YunSuoDaemon[/td][/tr]

[tr][td]MsDtsSrvr.exe 5852 MsDtsServer100[/td][/tr]

[tr][td]TeamViewer_Desktop.exe 10712 暂缺[/td][/tr]

[tr][td]D_Safe_Manage.exe 11244 暂缺[/td][/tr]

[tr][td]360Safe.exe 4360 暂缺[/td][/tr]

[tr][td]WmiPrvSE.exe 2652 暂缺[/td][/tr]

[tr][td]WmiPrvSE.exe 6848 暂缺[/td][/tr]

[tr][td]sll.exe 10936 暂缺[/td][/tr]

[tr][td]nvsc.exe 9712 暂缺[/td][/tr]

[tr][td]TrustedInstaller.exe 12280 TrustedInstaller[/td][/tr]

[tr][td]cmd.exe 6068 暂缺[/td][/tr]

[tr][td]conhost.exe 2320 暂缺[/td][/tr]

[tr][td]cmd.exe 8496 暂缺[/td][/tr]

[tr][td]conhost.exe 11428 暂缺[/td][/tr]

[tr][td]tasklist.exe 12268 暂缺[/td][/tr]

[tr][td]

开始分析

tasklist /svc | find '可疑通信PID'

可以看到是TeamViewer_Service.exe,也就是我当前使用的远程工具。(我没过去。只是远程分析)

可以看到最后一个进程,10936 这个PID的进程未Sll.exe,让我感到了好奇。那就是他的进程名字比较奇怪。

于是对他进行深入查,D盾打开。查路径。

卧槽。灰鸽子?瞬间我明白了什么。

看来这是被控制了。无疑了。怪不得360不杀,不报毒。

后续继续走

生成时间是20-05-22号也就是服务器被入侵的时间,看来凶手已经确定了。22号就被日了。

(PS:刚刚好跟灰鸽子一个负责人有些合作,于是叫他帮我查了一下。)

顺带我也查了一下该目录的log文件。

还加入了计划任务。

好吧。我们先找到谁在控制这个服务器把。

后续

通过询问。找到了如何查看是谁在控制这台服务器的用户。

把根目录的ID.rdb内容进行BASE64解码。

然后把最前面的userid发给了他。

当我看见了用户名。瞬间。(然后调取了这个ID控制的所有服务器列表信息。发现。竟然有:100台服务器)

在这100台中。我终于找到了被入侵的服务器IP。

于是乎,马上找到他问问。

第二天给我的回答。

红色我。黑色是他。

于是,等他去问问谁干的。

黑色是黑阔。红色是我朋友。

最后得知入侵方法。(用了0day。然后旁站渗透。获取到了服务器权限。这台服务器好几十个网站。)

至此应急结束。数据所幸都未毁掉。(PS:IIS日志并未记录完整。查了没用。并且22号的以前的都被删除了。只有23号。所以并没有多少价值信息。)

本文作者:诚殷网络论坛,转载自:https://bbs.ichunqiu.com/forum.php mod=viewthreadtid=41036highlight=%E6%BA%AF%E6%BA%90