您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

记一次应急响应实战-黑客攻击思路

时间:2020-02-28 12:05:40  来源:  作者:

记一次应急响应实战-黑客攻击思路

 

 

事件背景

 

某日,同事接了一个电话,突然告诉我有个某单位服务器中了木马被黑,具体情况未知。由于客户那边比较急,于是我火速赶往客户现场。

 

到现场,客户首先给我看了深信服防火墙拦截记录,显示内网三台机器被入侵。通过沟通了解,被黑服务器为客户微信端服务器,内网可直接与外网通信。

 

事发后,客户自己做了处理,这个操作可能在一定程度上给溯源,理清攻击者入侵思路,造成了一定的障碍(可能黑客利用的程序被客户直接清除)。

 

通过进一步了解,客户用的是 phpstudy 进行应用的搭建。而且是从 2015 年下载的版本一直用到现在。

 

联想到前几天爆出的 phpstudy 供应链攻击。

 

基本上已经确定服务器被黑的原因。

 


 

现场排查

 

找到服务器上 phpstudy 安装路径,在如下路径中对文件进行后门检查。

 

phpphp-5.2.17extphp_xmlrpc.dll

 

phpphp-5.4.45extphp_xmlrpc.dll

 

检查情况:

 

phpphp-5.2.17ext路径下未发现 php_xmlrpc.dll 后门文件。

 

phpphp-5.4.45ext路径下存在 php_xmlrpc.dll 后门文件。

 

于是想通过文件内容进行分析,但是发现文件打开失败,无法查看内容。通过文件属性判断出可能为木马或病毒文件(一般木马或病毒文件属性中详细信息都为空)。

 

木马文件:

 

记一次应急响应实战-黑客攻击思路

 

正常文件:

 

记一次应急响应实战-黑客攻击思路

 

本地后门文件分析:

 

记一次应急响应实战-黑客攻击思路

 

 


内网排查

 

通过查看分析,其他几台机器未发现安装 phpstudy 程序,但是有几个共同特点:

 

未安装杀毒软件未更新重要补丁(如 ms17-010) guest 账号未禁用

 

于是帮他们安装了杀毒软件,手工结合工具进行分析,但是也没有发现有异常程序(中间过程有某卫士报的木马程序,进一步判断为误报)。这让我很奇怪,一般来说,应该总会留下点东西。

 

进一步分析发现其中一台被入侵的机器上存在大量登录成功和失败的日志记录。

 

失败记录为administrator 账号登录失败,应该是账号暴力破解。登录成功日志为 guest 账号,疑似通过guest 账号默认空口令进行登录。

 

到了这里攻击者思路基本理清,但是攻击者的目的我还没有搞明白,按理说攻击者费了这么大的劲,不应该只是为了进行一次内网漫游吧。想到客户刚才提到服务器一直在下载东西被拦截,于是再次查看防火墙日志。

 

至此,终于明白攻击者目的。

 

下载wannamime挖矿木马:

 

记一次应急响应实战-黑客攻击思路

 

下载矿池:

 

记一次应急响应实战-黑客攻击思路

 

 

记一次应急响应实战-黑客攻击思路

 

 


 

总结

 

黑客攻击思路

 

首先黑客通过最新爆出的 phpstudy 后门获取服务器权限,在内网中发现内网服务器未安装杀毒软件,未更新重要补丁。

 

系统 Guest 账号未禁用,导致被黑客利用。

 

内网服务器从外部下载勒索病毒被深信服防火墙拦截。客户发现问题第一时间采取了断网措施,并进行了处理。避免事件进一步升级。

 

整改建议

 

删除 phpstudy 存在后门的版本程序 服务器安装杀毒软件 禁用来宾账号 更新系统补丁

 

作者: 秦萧

转载自:https://mp.weixin.qq.com/s/iIAPsEbHnywvL1l7YXA8sQ



Tags:   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言什么是数据脱敏数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护常用脱敏规则替换、重排、加密、截断、掩码良好的数据脱敏实施1、尽...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
河南最有名的“13碗面”,吃过10种以上的一定是地道河南人,你吃过几碗?河南位于黄河中下游,优越的地理位置和条件,让河南的种植业在全国脱颖而出,被称为全国的“粮仓”。小麦是河南...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
在狗界中,有些狗狗比较凶残、霸道,今天我们就来说说被称为“犬中四煞”的4种狗,请认住它们的长相,看见了要绕路走! NO1:黑狼犬产地:中国寿命:11-12年黑狼犬是狼狗的一种,长大高大威猛...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
协议下的体面离婚 2015年1月 方晴供职于一家外企,袁亮硕士毕业后开了家公司。两人相识、恋爱后走进婚姻殿堂。 方晴和袁亮的儿子小浩出生了。本该是其乐融融的三口之家,却在一...【详细内容】
2021-12-28  Tags:   点击:(2)  评论:(0)  加入收藏
中国人神话世界五千年到一万年之前到底是一个什么样的世界?相信这个问题应该是困扰了大家许久吧!其实这些问题可以从远古时代的三皇五帝开始说起,三皇五帝对于中国人的影响就如...【详细内容】
2021-12-28  Tags:   点击:(2)  评论:(0)  加入收藏
去年有个新闻,说的是一名印度女孩自小被欧洲有钱人家收养,长大后要回来给自己出生的村子捐钱做慈善。等她回村的时候,村里人专门为女孩修了一条路。表面上看,这貌似是个暖心的故...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
日本在今年又给大家带来了一个巨大消息,日本著名的球星本田圭佑出资设立的一家公司,正式发售了飞行摩托车。 在之前可是在电视或者是电影中才能看到的,是具备了未来科幻的一个...【详细内容】
2021-12-28  Tags:   点击:(4)  评论:(0)  加入收藏
V社今日公布了2021年Steam最畅销游戏榜单,其中涵盖了本年度Steam上收入最高的100款游戏。为了得出每款游戏的总收入,Steam计算了2021年1月1日至2021年12月15日的游戏销售额、...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
“都怪我一时糊涂铸下大错,这几年为了蒙混过关,拆东墙补西墙就怕被发现,我对不起信任我的领导同事,更对不起我的家人。”内蒙古某国有合资公司原出纳员包某在庭审现场听取公诉人...【详细内容】
2021-12-28  Tags:   点击:(2)  评论:(0)  加入收藏
2021年黄金价格下跌11.3%,黄金现在已经下跌了6.5%。白银价格一度下跌19.3%,白银现在已经下跌了15%。美元通胀。白银自2020年2月份以来,五家中央银行(Fed、欧洲中央银行、日本中...【详细内容】
2021-12-28  Tags:   点击:(3)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Kali与编程    Tags:Kali Linux   点击:(3)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  诺必达云服务    Tags:端口扫描   点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Kali与编程    Tags:Dirbuster   点击:(28)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  WHOAMI    Tags:黑客   点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:ü如何开启ip转发ü怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Kali与编程    Tags:黑客   点击:(23)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Kali与编程    Tags:端口   点击:(39)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Kali与编程    Tags:服务扫描   点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:ü借助第三方软件防御(360安全卫士,腾讯管家等)ü使用arp...【详细内容】
2021-11-13  Kali与编程    Tags:白帽   点击:(32)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  暗网视界    Tags:sqlmate   点击:(44)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Kali与编程    Tags:白帽黑客   点击:(31)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条