首页 安全文摘 应急响应 正文

记一次应急响应实战

事件背景某日,同事接了一个电话,突然告诉我有个某单位服务器中了木马被黑,具体情况未知。由于客户那边比较急,于是我火速赶往客户现场。到现场,客户首先给我看了深信服防火墙拦截记录,显示内网三台机器被入侵。通过沟通了解,被黑服务器为客户微信端服务器,内网可直接与外网通信。事发后,客户自己做了处理,这个操作可能在一定程度上给溯源,理清攻击者入侵思路,造成了一定的障碍

事件背景

某日,同事接了一个电话,突然告诉我有个某单位服务器中了木马被黑,具体情况未知。由于客户那边比较急,于是我火速赶往客户现场。到现场,客户首先给我看了深信服防火墙拦截记录,显示内网三台机器被入侵。通过沟通了解,被黑服务器为客户微信端服务器,内网可直接与外网通信。事发后,客户自己做了处理,这个操作可能在一定程度上给溯源,理清攻击者入侵思路,造成了一定的障碍(可能黑客利用的程序被客户直接清除)。通过进一步了解,客户用的是 phpstudy 进行应用的搭建。而且是从 2015 年下载的版本一直用到现在。联想到前几天爆出的 phpstudy 供应链攻击。基本上已经确定服务器被黑的原因。


现场排查

找到服务器上 phpstudy 安装路径,在如下路径中对文件进行后门检查。

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

检查情况:

php\php-5.2.17\ext\路径下未发现 php_xmlrpc.dll 后门文件。

php\php-5.4.45\ext\路径下存在 php_xmlrpc.dll 后门文件。

于是想通过文件内容进行分析,但是发现文件打开失败,无法查看内容。通过文件属性判断出可能为木马或病毒文件(一般木马或病毒文件属性中详细信息都为空)。

木马文件:

记一次应急响应实战 安全文摘 应急响应  第1张

正常文件:

记一次应急响应实战 安全文摘 应急响应  第2张

本地后门文件分析:

记一次应急响应实战 安全文摘 应急响应  第3张

内网排查

通过查看分析,其他几台机器未发现安装 phpstudy 程序,但是有几个共同特点:

未安装杀毒软件未更新重要补丁(如 ms17-010) guest 账号未禁用

于是帮他们安装了杀毒软件,手工结合工具进行分析,但是也没有发现有异常程序(中间过程有某卫士报的木马程序,进一步判断为误报)。这让我很奇怪,一般来说,应该总会留下点东西。

 进一步分析发现其中一台被入侵的机器上存在大量登录成功和失败的日志记录。失败记录为administrator 账号登录失败,应该是账号暴力破解。登录成功日志为 guest 账号,疑似通过guest 账号默认空口令进行登录。

 到了这里攻击者思路基本理清,但是攻击者的目的我还没有搞明白,按理说攻击者费了这么大的劲,不应该只是为了进行一次内网漫游吧。想到客户刚才提到服务器一直在下载东西被拦截,于是再次查看防火墙日志。至此,终于明白攻击者目的。

下载wannamime挖矿木马:

记一次应急响应实战 安全文摘 应急响应  第4张

下载矿池:

记一次应急响应实战 安全文摘 应急响应  第5张

记一次应急响应实战 安全文摘 应急响应  第6张


总结

黑客攻击思路

首先黑客通过最新爆出的 phpstudy 后门获取服务器权限,在内网中发现内网服务器未安装杀毒软件,未更新重要补丁。系统 Guest 账号未禁用,导致被黑客利用。内网服务器从外部下载勒索病毒被深信服防火墙拦截。客户发现问题第一时间采取了断网措施,并进行了处理。避免事件进一步升级。

整改建议

删除 phpstudy 存在后门的版本程序 服务器安装杀毒软件禁用来宾账号更新系统补丁

文由琴箫

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1594.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10258

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10100

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持