歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

記一次應急響應實戰

來源:本站整理 作者:佚名 時間:2019-10-08 TAG: 我要投稿

某日,銷售接了一個電話,突然告訴我有個某單位服務器中了木馬被黑,具體情況未知。由于客戶那邊比較急,于是我火速趕往客戶現場。到現場,客戶首先給我看了深信服防火墻攔截記錄,顯示內網三臺機器被入侵。通過溝通了解,被黑服務器為客戶微信端服務器,內網可直接與外網通信。事發后,客戶自己做了處理,這個操作可能在一定程度上給溯源,理清攻擊者入侵思路,造成了一定的障礙(可能黑客利用的程序被客戶直接清除)。通過進一步了解,客戶用的是phpstudy進行應用的搭建。而且從是2016年下載的版本一直用到現在。聯想到前幾天爆出的phpstudy供應鏈攻擊。基本上已經確定服務器被黑的原因。
現場排查
找到服務器上phpstudy安裝路徑,在如下路徑中對文件進行后門檢查。
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
檢查情況:
php\php-5.2.17\ext\路徑下未發現php_xmlrpc.dll后門文件。
php\php-5.4.45\ext\路徑下存在php_xmlrpc.dll后門文件。
于是想通過文件內容進行分析,但是發現文件打開失敗,無法查看內容。通過文件屬性判斷出可能為木馬或病毒文件(一般木馬或病毒文件屬性中詳細信息都為空)。
木馬文件:

 
正常文件:
 

本地后門文件分析:
 

內網排查
通過查看分析,其他幾臺機器未發現安裝phpstudy程序,但是有幾個共同特點:
 
1.未安裝殺毒軟件
2.未更新重要補丁(如ms17-010)
3.guest賬號未禁用
 
于是幫他們安裝了殺毒軟件,手工結合工具進行分析,但是也沒有發現有異常程序(中間過程有某衛士報的木馬程序,進一步判斷為誤報)。這讓我很奇怪,一般來說,應該總會留下點東西。
進一步分析發現其中一臺被入侵的機器上存在大量登錄成功和失敗的日志記錄。失敗記錄為administrator賬號登錄失敗,應該是賬號暴力破解。登錄成功日志為guest賬號,疑似通過guest賬號默認空口令進行登錄。
 
到了這里攻擊者思路基本理清,但是攻擊者的目的我還沒有搞明白,按理說攻擊者費了這么大的勁,不應該只是為了進行一次內網漫游吧。想到客戶剛才提到服務器一直在下載東西被攔截,于是再次查看防火墻日志。至此,終于明白攻擊者目的。
下載WannaMine挖礦木馬
 
 


下載礦池:
 
 


 
總結
黑客攻擊思路
首先黑客通過最新爆出的phpstudy后門獲取服務器權限,在內網中發現內網服務器未安裝殺毒軟件,未更新重要補丁。系統Guest賬號未禁用,導致被黑客利用。內網服務器從外部下載挖礦木馬被深信服防火墻攔截。客戶發現問題第一時間采取了斷網措施,并進行了處理。避免事件進一步升級。
整改建議
刪除phpstudy存在后門的版本程序
服務器安裝殺毒軟件
禁用來賓賬號
更新系統補丁
 

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任