发布时间:2024-01-31 14:05:17来源:头条浏览:0
本文由南丁格尔最后编辑于20年5月31日11点13分。
回到正题,不要倒水,这样我可以随时回答你的问题。
简介
有一天,一个朋友打电话来问我是否还记得上次的渗透测试,然后QQ给我发了一份上次的报告,询问原因。原本做的一个项目被入侵了,黑客修改了管理员账号的密码,安装了云锁防止管理员登录。
这份报告的漏洞之一可能会危及系统安全,即他们开发的系统存在SQL注入漏洞,他们使用sa作为数据库连接帐户,并且他们没有被降级,因此他们很可能心中有对方的入侵轨迹,因此有必要证明这一点。
第二天下午,朋友到达目的地,取出硬盘。反渗透已经开始。
开始
服务器安装配置如下:
360全家桶
安全狗家庭桶
首先要检查的是系统日志:
如你所见,日志已被删除并仔细处理过,但仍有线索。尽管日志已被清除,但他最后一次登录和注销仍未被清除。
客户:A90B90
IP地址:0.191.100.119
如您所见,Guest帐户用于登录。然后继续查看,既然安装了云锁,那我们就去云锁查看一下最近的登录日志。
关于云锁的有用信息非常少,但它也有助于我们确认访客用户确实被黑客修改过。我们正在用D防护罩检查它。
扫描网站中的特洛伊木马。
经过长时间的调查,没有发现可解析的脚本特洛伊。看来工作已经完成了。
在帐户中发现一个克隆帐户。
都是他妈的克隆的。(您为什么更改了Mao管理密码?没什么可找的,没什么可做的?你能不能不要这么淘气?)
暂时没有在网络上发现木马。那就继续找。如果是d盾呢?
所以检查修改时间。
显示未找到符合条件的项目。
20年5月22日、20年5月23日、20年5月24日以及入侵附近的时间。
结果显示,他们都没有。所以继续吧。
通过云锁检查外链。(主要调查:动态和静态寄生虫)
如图所示,没有外链。
然后我检查了系统保护日志。
雄猫?那么会不会是ST2命令执行中的漏洞呢?因为网络没有发现特洛伊木马。所以这可能是直接的权利?
从网络通信中检查
Through Statistics Netherlands
但我打开了运行输入命令。
我不敢相信我也删除了cmd所以我自己发了一个CMD。
然后执行netstat -ano。
图像名称PID服务【/p】【/TD】【/tr】
[tr][td]=================================================================[/td][/tr]
System idle process 0 is temporarily absent [/TD] [/tr]
[TR] [TD] System 4 is temporarily unavailable [/TD] [/TR]
【tr】【TD】短信服务。exe 328暂缺[/td][/tr]
【tr】【TD】csrss。exe 400暂缺【/TD】【/tr】
【tr】【TD】wininitexe 452暂缺[/td][/tr]
【tr】【TD】csrss。exe 464暂缺【/TD】【/tr】
【tr】winlogon。exe 504暂缺[/td][/tr]
【tr】服务。exe 552暂缺【/TD】【/tr】
[tr][td]lsass.exe 560 SamSs[/td][/tr]
【tr】LSM。exe 568暂缺【/TD】【/tr】
[tr][td]svchost.exe 664 DcomLaunch, PlugPlay, Power[/td][/tr]
[tr][td]svchost.exe 764 RpcEptMapper, RpcSs[/td][/tr]
[tr][td]svchost.exe 860 Dhcp, eventlog, lmhosts[/td][/tr]
[tr][td]svchost.exe 912 AeLookupSvc, BITS, CertPropSvc,[/td][/tr]
[tr][td] IKEEXT, iphlpsvc, LanmanServer,[/td][/tr]
[tr][td] Schedule, seclogon, SENS, Sessio[/td][/tr]
[tr][td] ShellHWDetection, Winmgmt[/td][/tr]
[tr][td]svchost.exe 972 EventSystem, FontCache, netprofm[/td][/tr]
[tr][td]svchost.exe 1020 Netman, UmRdpService, UxSms[/td][/tr]
[tr][td]ZhuDongFangYu.exe 360 ZhuDongFangYu[/td][/tr]
[tr][td]svchost.exe 416 CryptSvc, Dnscache, LanmanWorkst[/td][/tr]
[tr][td] NlaSvc, WinRM[/td][/tr]
[tr][td]svchost.exe 272 BFE, DPS, MpsSvc[/td][/tr]
[tr][td]svchost.exe 1124 AppHostSvc[/td][/tr]
[tr][td]aspnet_state.exe 1164 aspnet_state[/td][/tr]
[tr][td]svchost.exe 1292 DiagTrack[/td][/tr]
[tr][td]d_manage.exe 1328 D_Safe[/td][/tr]
[tr][td]sqlservr.exe 1412 MSSQLSERVER[/td][/tr]
[tr][td]SMSvcHost.exe 1564 NetPipeActivator, NetTcpActivato[/td][/tr]
[tr][td] NetTcpPortSharing[/td][/tr]
[tr][td]SafeDogUpdateCenter.exe 1772 Safedog Update Center[/td][/tr]
[tr][td]CloudHelper.exe 24 SafeDogCloudHelper[/td][/tr]
[tr][td]sqlwriter.exe 2348 SQLWriter[/td][/tr]
[tr][td]TeamViewer_Service.exe 2380 TeamViewer[/td][/tr]
[tr][td]UVPUpgradeService.exe 2744 UVPGrade[/td][/tr]
[tr][td]uvpmonitor.exe 2776 UVPMonitor[/td][/tr]
[tr][td]svchost.exe 2808 W3SVC, WAS[/td][/tr]
[tr][td]SQLAGENT.EXE 3076 SQLSERVERAGENT[/td][/tr]
【tr】【TD】骗子主持人。exe 3568暂缺[/td][/tr]
【tr】uvpvssreq。exe 3968暂缺【/TD】【/tr】
【tr】【TD】骗子主持人。exe 3984暂缺【/TD】【/tr】
[tr][td]fdlauncher.exe 2952 MSSQLFDLauncher[/td][/tr]
[tr][td]svchost.exe 1544 TermService[/td][/tr]
[tr][td]svchost.exe 12 PolicyAgent[/td][/tr]
【tr】【TD】FD主机。exe 4256暂缺【/TD】【/tr】
【tr】【TD】骗子主持人。exe 4264暂缺【/TD】【/tr】
[tr][td]msdtc.exe 4772 MSDTC[/td][/tr]
【tr】任务主机。exe 4608暂缺【/TD】【/tr】
[tr][td]dwm.exe 5104 暂缺[/td][/tr]
[tr][td]explorer.exe 4176 暂缺[/td][/tr]
[tr][td]Everything.exe 4244 暂缺[/td][/tr]
[tr][td]HwUVPUpgrade.exe 3112 暂缺[/td][/tr]
[tr][td]360DesktopLite64.exe 1644 暂缺[/td][/tr]
[tr][td]TeamViewer.exe 908 暂缺[/td][/tr]
[tr][td]tv_w32.exe 2480 暂缺[/td][/tr]
[tr][td]tv_x64.exe 4844 暂缺[/td][/tr]
[tr][td]HaozipSvc.exe 5008 HaoZipSvc[/td][/tr]
[tr][td]spoolsv.exe 5876 Spooler[/td][/tr]
[tr][td]SunloginClient.exe 3376 暂缺[/td][/tr]
[tr][td]SunloginClient.exe 3308 SunloginService[/td][/tr]
[tr][td]SunloginClient.exe 3212 暂缺[/td][/tr]
[tr][td]360bdoctor.exe 5216 暂缺[/td][/tr]
[tr][td]yshttp.exe 2604 暂缺[/td][/tr]
[tr][td]yshttp.exe 5100 暂缺[/td][/tr]
[tr][td]conhost.exe 3520 暂缺[/td][/tr]
[tr][td]yshttp.exe 4064 暂缺[/td][/tr]
[tr][td]yshttp.exe 3388 暂缺[/td][/tr]
[tr][td]conhost.exe 340 暂缺[/td][/tr]
[tr][td]360tray.exe 2620 暂缺[/td][/tr]
[tr][td]SoftMgrLite.exe 3512 暂缺[/td][/tr]
[tr][td]yunsuo_agent_service.exe 6884 YunSuoAgent[/td][/tr]
[tr][td]yunsuo_agent_daemon.exe 8064 YunSuoDaemon[/td][/tr]
[tr][td]MsDtsSrvr.exe 5852 MsDtsServer100[/td][/tr]
[tr][td]TeamViewer_Desktop.exe 10712 暂缺[/td][/tr]
[tr][td]D_Safe_Manage.exe 11244 暂缺[/td][/tr]
[tr][td]360Safe.exe 4360 暂缺[/td][/tr]
[tr][td]WmiPrvSE.exe 2652 暂缺[/td][/tr]
[tr][td]WmiPrvSE.exe 6848 暂缺[/td][/tr]
[tr][td]sll.exe 10936 暂缺[/td][/tr]
[tr][td]nvsc.exe 9712 暂缺[/td][/tr]
[tr][td]TrustedInstaller.exe 12280 TrustedInstaller[/td][/tr]
[tr][td]cmd.exe 6068 暂缺[/td][/tr]
[tr][td]conhost.exe 2320 暂缺[/td][/tr]
[tr][td]cmd.exe 8496 暂缺[/td][/tr]
[tr][td]conhost.exe 11428 暂缺[/td][/tr]
[tr][td]tasklist.exe 12268 暂缺[/td][/tr]
[tr][td]
开始分析
tasklist /svc | find '可疑通信PID'
可以看到是TeamViewer_Service.exe,也就是我当前使用的远程工具。(我没过去。只是远程分析)
可以看到最后一个进程,10936 这个PID的进程未Sll.exe,让我感到了好奇。那就是他的进程名字比较奇怪。
于是对他进行深入查,D盾打开。查路径。
卧槽。灰鸽子?瞬间我明白了什么。
看来这是被控制了。无疑了。怪不得360不杀,不报毒。
后续继续走
生成时间是20-05-22号也就是服务器被入侵的时间,看来凶手已经确定了。22号就被日了。
(PS:刚刚好跟灰鸽子一个负责人有些合作,于是叫他帮我查了一下。)
顺带我也查了一下该目录的log文件。
还加入了计划任务。
好吧。我们先找到谁在控制这个服务器把。
后续
通过询问。找到了如何查看是谁在控制这台服务器的用户。
把根目录的ID.rdb内容进行BASE64解码。
然后把最前面的userid发给了他。
当我看见了用户名。瞬间。(然后调取了这个ID控制的所有服务器列表信息。发现。竟然有:100台服务器)
在这100台中。我终于找到了被入侵的服务器IP。
于是乎,马上找到他问问。
第二天给我的回答。
红色我。黑色是他。
于是,等他去问问谁干的。
黑色是黑阔。红色是我朋友。
最后得知入侵方法。(用了0day。然后旁站渗透。获取到了服务器权限。这台服务器好几十个网站。)
至此应急结束。数据所幸都未毁掉。(PS:IIS日志并未记录完整。查了没用。并且22号的以前的都被删除了。只有23号。所以并没有多少价值信息。)
本文作者:诚殷网络论坛,转载自:https://bbs.ichunqiu.com/forum.php mod=viewthreadtid=41036highlight=%E6%BA%AF%E6%BA%90
007球探网即时比分 足球手机版下载_007球探网即时比分 足球手机版「EV2.0」下载
热门手游
下载02s515排水检查井下载_02s515排水检查井「EV2.0」下载
热门手游
下载0515返利网下载_0515返利网「Ve2.2」下载
热门手游
下载03g101图集下载_03g101图集「V1.25」下载
热门手游
下载1.70合击下载_1.70合击「VE1.10」下载
热门手游
下载1 2 fan club下载_1 2 fan club「EV2.0」下载
热门手游
下载1.70金币版下载_1.70金币版「V1.2」下载
热门手游
下载.net framework 3.0下载_.net framework 3.0「VE1.10」下载
热门手游
下载