MENU

当服务器被抓鸡后...

August 11, 2019 • Read: 1914 • Web阅读设置

0x00 前言

某天,登录上搭建dedecms的服务器发现非常之卡,发现CPU资源利用率不是那么的正常。检查了下进程发现被搞了。。。

1565515893562.png

赶紧把火绒装上服务器,杀了下毒,还发现系统用户多了个叫piress的账号,MD还是adminstrators组的权限,赶紧删了他。

1565516313336.png

收获四个远控木马。再加上这个cna12.dll

1565516458493.png

看样子是被人利用MySQL漏洞提权账号种远控马了哈哈哈,有点兴奋,又知道是自己太疏忽了,MySQL密码弱口令,只是搭建测试完忘了关服务了。

0x01 应急操作

首先关掉了phpstudy,先禁用MySQL、apache等应用程序。防止攻击者继续通过这个口入侵。

接着给服务器装上了火绒,杀了下毒,吓我一跳哈哈。

1565516989711.png

与此同时打开火绒剑检查进程安全,看进程名有没有那种非正常的进程或者伪装的进程,看路径是从哪个ip发起的,然后给它结束掉,打码的是我自己远程连接的i本机ip。

1565517258713.png

然后看下服务项,怀疑有问题的先停止。

1565517472679.png

再排查注册表启动项,因为远控通常需要上线自启动,排查有问题的启动项禁用或删除。

1565517601108.png

0x02 木马分析

这里用到了微步云沙箱分析下之前捕获的四个木马。

sql85.exe

1565534061678.png

1565534110302.png

skdx.exe

1565534252723.png

1565534318630.png

1565534339080.png

远控无疑,顺带着生成了之前那个test.exe.

不过也暴露了他的木马服务器ip,想顺着反搞一波。

1565534768293.png

看到有3389端口,尝试爆破。

未果。

原文作者:Keefe

原文链接:当服务器被抓鸡后...

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可