[应急响应]Win Server Web1入侵排查
题目
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
排查后门账户
1 | net user |
可疑用户。
查看账户管理
发现可疑用户hack168$
查看本地用户和组管理lusrmgr
- 查看用户
- 查看组
确定hack168$是一个隐藏的后门用户。
检查端口、进程
端口检查
1 | netstat -ano |
看了一下,没看出来什么
进程排查
查看系统信息msinfo32
“系统信息”->“软件环境”->“正在运行任务”中查看进程信息
看了下,好像也没看出来什么
自启动后门排查
计划任务排查
“控制面板”->“系统安全”->“计划任务”
安全的计划任务,无后门
服务排查
services.msc
无异常
自启动文件夹排查
系统配置msconfig
自启动注册表项
有很多启动注册表项,不一一展示,均无后门存在
日志检测
Windows安全日志
针对用户登录,主要查看安全日志。可以从“事件查看器”中查看Windows的安全日志,此日志存储位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
打开日志查看器:eventvwr.msc
Web日志检测
靶场是通过phpstudy搭建网站,我们直接到apache的日志目录下查看成功日志
前59条是本地服务器在访问,往后就变成了是192.168.126.1这个IP在对本地web进行访问
从第98条记录开始,每秒有大量访问,疑似爆破行为
五分钟进行了五千七百多次访问,结合爆破路径,确认改IP存在账号密码爆破行为。
在往后的行为中,恶意IP疑似进行了上传操作,结合爆破行为,确认恶意IP已经爆破成功并且进入了后台管理。继续往后看,恶意IP通过插件上传功能上传了木马文件shell.php,上传点位于/content/plugins/tips/shell.php
查看该木马文件
默认连接密码是rebeyond
后面的就全是对木马文件的访问
病毒文件排查
对隐藏用户hack$168用户的目录进行排查,在桌面发现一个可疑文件,运行之后CPU飙升,判别为挖矿病毒。
该病毒图标是pyinstaller打包后的exe默认图标,我们用pyinstxtractor进行反编译
1 | python pyinstxtractor.py Kuang.exe |
得到pyc文件
通过pyc在线反编译工具进行反编译
得到挖矿程序的矿池域名:http://wakuang.zhigongshanfang.top
使用工具
木马文件
克隆账号
over!!!
