本帖最后由 夜莺 于 2018-5-31 11:13 编辑
回复正经点,不要灌水,这样我还可以经常性的回复各位朋友的提问。
简介
某天一个朋友打电话来询问我是否还记得上次的渗透测试,随后QQ发我了一份上次的报告,问了一下原因,是原先做的一个项目被入侵了,黑客修改了管理员账户密码,并且还安装了云锁,阻止管理员登陆。
这份报告其中有一个漏洞可能危害到系统安全,那就是他们开发的系统中出现了一个SQL注入漏洞,并且他们使用的sa作为数据库连接账户,而且未降权,所以在心中大概有了对方的入侵轨迹,那就要去证明了。在第二天的下午,朋友赶到了目的地,取出来了硬盘。逆向渗透开始了。
开始
服务器安装配置如下:
360全家桶
安全狗全家桶
首先进去查的是系统日志:
可以看到,日志被抹除了,做的很仔细,但是依旧有蛛丝马迹,虽然清理了日志,但是他最后一次登录与注销,并未被清理。
客户端:A90B90
IP地址:180.191.100.119
可以看到,使用了Guest账户进行登陆。那么继续查,既然装了云锁,那我们就去云锁上面查询最近的登陆日志。
云锁上面并且得到有用的信息极少,但是这也帮助我们确定了Guest用户确实是黑客修改过了,我们在结合D盾的来查
扫描网站是否存在木马
经过长时间的排查并未发现可解析的脚本木马,看来是做了工作了。
在账户里面也果然发现了克隆账户
都尼玛克隆了。(你还改毛管理密码干啥?没事找事闲得蛋疼???能不能不要那么调皮?)
WEB方面暂时未发现木马。那么继续查。万一是免杀D盾?
于是乎查修改时间。
显示未搜索到与条件相匹配得项目。
2018-05-22 2018-05-23 2018-05-24 与被入侵邻近得时间都的查。
结果显示都没有。于是继续。
通过云锁查外链。(主要查:动态静态寄生虫)
如图所示,并没有什么外链。
接着再去查了一下系统防护日志
Tomcat?于是会不会是ST2命令执行漏洞?因为web没有发现木马。所以可能是直接性提权?
从网络通信查
通过 netstat -ano
但是我打开运行输入 cmd。
竟然把CMD也给删除了。于是我就自己传了一个cmd过去了。
然后执行netstat -ano
映像名称 PID 服务[/p][/td][/tr]
[tr][td]========================= ======== ================================[/td][/tr]
[tr][td]System Idle Process 0 暂缺[/td][/tr]
[tr][td]System 4 暂缺[/td][/tr]
[tr][td]smss.exe 328 暂缺[/td][/tr]
[tr][td]csrss.exe 400 暂缺[/td][/tr]
[tr][td]wininit.exe 452 暂缺[/td][/tr]
[tr][td]csrss.exe 464 暂缺[/td][/tr]
[tr][td]winlogon.exe 504 暂缺[/td][/tr]
[tr][td]services.exe 552 暂缺[/td][/tr]
[tr][td]lsass.exe 560 SamSs[/td][/tr]
[tr][td]lsm.exe 568 暂缺[/td][/tr]
[tr][td]svchost.exe 664 DcomLaunch, PlugPlay, Power[/td][/tr]
[tr][td]svchost.exe 764 RpcEptMapper, RpcSs[/td][/tr]
[tr][td]svchost.exe 860 Dhcp, eventlog, lmhosts[/td][/tr]
[tr][td]svchost.exe 912 AeLookupSvc, BITS, CertPropSvc,[/td][/tr]
[tr][td] IKEEXT, iphlpsvc, LanmanServer,[/td][/tr]
[tr][td] Schedule, seclogon, SENS, Sessio[/td][/tr]
[tr][td] ShellHWDetection, Winmgmt[/td][/tr]
[tr][td]svchost.exe 972 EventSystem, FontCache, netprofm[/td][/tr]
[tr][td]svchost.exe 1020 Netman, UmRdpService, UxSms[/td][/tr]
[tr][td]ZhuDongFangYu.exe 360 ZhuDongFangYu[/td][/tr]
[tr][td]svchost.exe 416 CryptSvc, Dnscache, LanmanWorkst[/td][/tr]
[tr][td] NlaSvc, WinRM[/td][/tr]
[tr][td]svchost.exe 272 BFE, DPS, MpsSvc[/td][/tr]
[tr][td]svchost.exe 1124 AppHostSvc[/td][/tr]
[tr][td]aspnet_state.exe 1164 aspnet_state[/td][/tr]
[tr][td]svchost.exe 1292 DiagTrack[/td][/tr]
[tr][td]d_manage.exe 1328 D_Safe[/td][/tr]
[tr][td]sqlservr.exe 1412 MSSQLSERVER[/td][/tr]
[tr][td]SMSvcHost.exe 1564 NetPipeActivator, NetTcpActivato[/td][/tr]
[tr][td] NetTcpPortSharing[/td][/tr]
[tr][td]SafeDogUpdateCenter.exe 1772 Safedog Update Center[/td][/tr]
[tr][td]CloudHelper.exe 1824 SafeDogCloudHelper[/td][/tr]
[tr][td]sqlwriter.exe 2348 SQLWriter[/td][/tr]
[tr][td]TeamViewer_Service.exe 2380 TeamViewer[/td][/tr]
[tr][td]UVPUpgradeService.exe 2744 UVPGrade[/td][/tr]
[tr][td]uvpmonitor.exe 2776 UVPMonitor[/td][/tr]
[tr][td]svchost.exe 2808 W3SVC, WAS[/td][/tr]
[tr][td]SQLAGENT.EXE 3076 SQLSERVERAGENT[/td][/tr]
[tr][td]conhost.exe 3568 暂缺[/td][/tr]
[tr][td]UvpVssReq.exe 3968 暂缺[/td][/tr]
[tr][td]conhost.exe 3984 暂缺[/td][/tr]
[tr][td]fdlauncher.exe 2952 MSSQLFDLauncher[/td][/tr]
[tr][td]svchost.exe 1544 TermService[/td][/tr]
[tr][td]svchost.exe 12 PolicyAgent[/td][/tr]
[tr][td]fdhost.exe 4256 暂缺[/td][/tr]
[tr][td]conhost.exe 4264 暂缺[/td][/tr]
[tr][td]msdtc.exe 4772 MSDTC[/td][/tr]
[tr][td]taskhost.exe 4608 暂缺[/td][/tr]
[tr][td]dwm.exe 5104 暂缺[/td][/tr]
[tr][td]explorer.exe 4176 暂缺[/td][/tr]
[tr][td]Everything.exe 4244 暂缺[/td][/tr]
[tr][td]HwUVPUpgrade.exe 3112 暂缺[/td][/tr]
[tr][td]360DesktopLite64.exe 1644 暂缺[/td][/tr]
[tr][td]TeamViewer.exe 908 暂缺[/td][/tr]
[tr][td]tv_w32.exe 2480 暂缺[/td][/tr]
[tr][td]tv_x64.exe 4844 暂缺[/td][/tr]
[tr][td]HaozipSvc.exe 5008 HaoZipSvc[/td][/tr]
[tr][td]spoolsv.exe 5876 Spooler[/td][/tr]
[tr][td]SunloginClient.exe 3376 暂缺[/td][/tr]
[tr][td]SunloginClient.exe 3308 SunloginService[/td][/tr]
[tr][td]SunloginClient.exe 3212 暂缺[/td][/tr]
[tr][td]360bdoctor.exe 5216 暂缺[/td][/tr]
[tr][td]yshttp.exe 2604 暂缺[/td][/tr]
[tr][td]yshttp.exe 5100 暂缺[/td][/tr]
[tr][td]conhost.exe 3520 暂缺[/td][/tr]
[tr][td]yshttp.exe 4064 暂缺[/td][/tr]
[tr][td]yshttp.exe 3388 暂缺[/td][/tr]
[tr][td]conhost.exe 340 暂缺[/td][/tr]
[tr][td]360tray.exe 2620 暂缺[/td][/tr]
[tr][td]SoftMgrLite.exe 3512 暂缺[/td][/tr]
[tr][td]yunsuo_agent_service.exe 6884 YunSuoAgent[/td][/tr]
[tr][td]yunsuo_agent_daemon.exe 8064 YunSuoDaemon[/td][/tr]
[tr][td]MsDtsSrvr.exe 5852 MsDtsServer100[/td][/tr]
[tr][td]TeamViewer_Desktop.exe 10712 暂缺[/td][/tr]
[tr][td]D_Safe_Manage.exe 11244 暂缺[/td][/tr]
[tr][td]360Safe.exe 4360 暂缺[/td][/tr]
[tr][td]WmiPrvSE.exe 2652 暂缺[/td][/tr]
[tr][td]WmiPrvSE.exe 6848 暂缺[/td][/tr]
[tr][td]sll.exe 10936 暂缺[/td][/tr]
[tr][td]nvsc.exe 9712 暂缺[/td][/tr]
[tr][td]TrustedInstaller.exe 12280 TrustedInstaller[/td][/tr]
[tr][td]cmd.exe 6068 暂缺[/td][/tr]
[tr][td]conhost.exe 2320 暂缺[/td][/tr]
[tr][td]cmd.exe 8496 暂缺[/td][/tr]
[tr][td]conhost.exe 11428 暂缺[/td][/tr]
[tr][td]tasklist.exe 12268 暂缺[/td][/tr]
[tr][td]
开始分析
tasklist /svc | find "可疑通信PID"
可以看到是TeamViewer_Service.exe,也就是我当前使用的远程工具。(我没过去。只是远程分析)
可以看到最后一个进程,10936 这个PID的进程未 Sll.exe,让我感到了好奇。那就是他的进程名字比较奇怪。
于是对他进行深入查,D盾打开。查路径。
卧槽。灰鸽子?瞬间我明白了什么。
看来这是被控制了。无疑了。怪不得360不杀,不报毒。
后续继续走
生成时间是 2018-05-22号也就是服务器被入侵的时间,看来凶手已经确定了。22号就被日了。
(PS:刚刚好跟灰鸽子一个负责人有些合作,于是叫他帮我查了一下。)
顺带我也查了一下该目录的log文件。
还加入了计划任务。
好吧。我们先找到谁在控制这个服务器把。
后续
通过询问。找到了如何查看是谁在控制这台服务器的用户。
把根目录的ID.rdb内容进行BASE64解码。
然后把最前面的userid发给了他。。。
当我看见了用户名。瞬间。(然后调取了这个ID控制的所有服务器列表信息。发现。竟然有:100台服务器)
在这100台中。我终于找到了被入侵的服务器IP。
于是乎,马上找到他问问。
第二天给我的回答。
红色我。黑色是他。
于是,等他去问问谁干的。
黑色是黑阔。红色是我朋友。
最后得知入侵方法。(用了0day。然后旁站渗透。获取到了服务器权限。这台服务器好几十个网站。)
至此应急结束。数据所幸都未毁掉。(PS:IIS日志并未记录完整。查了没用。并且22号的以前的都被删除了。只有23号。所以并没有多少价值信息。)
本文作者:诚殷网络论坛,转载自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=41036&highlight=溯源
,
