Komik bir izlenebilirlik vakasını hatırlayın (tanıdıkların izini sürmek)
Bu gönderi en son Nightingale tarafından 2018-5-3111: 13'te düzenlendi
Ciddi bir şekilde yanıtlayın, sulama yapmayın, böylece sık sık arkadaşlarınızın sorularını yanıtlayabilirim.
Giriş
Bir gün bir arkadaşım aradı ve son sızma testini hala hatırlayıp hatırlamadığımı sordu ve ardından QQ bana son seferden bir rapor yolladı ve nedenini sordu.İlk çalıştığım bir proje hacklendi ve bilgisayar korsanı yöneticiyi değiştirdi. Yöneticinin oturum açmasını önlemek için hesap parolası ve bir bulut kilidi yüklenir.
Bu raporda sistemin güvenliğini tehlikeye atabilecek bir zafiyet var, yani geliştirdikleri sistemde bir SQL enjeksiyon zafiyeti ortaya çıkmış, veri tabanı bağlantı hesabı olarak sa kullanmışlar ve yetki düşürülmemiş, bu yüzden muhtemelen kafalarında karşı taraf var. İstila yörüngesi, o zaman bunu kanıtlamalıyız. Ertesi gün öğleden sonra arkadaşım hedefe koştu ve sabit diski çıkardı. Ters ozmoz başladı.
Başlat
Sunucu kurulum yapılandırması aşağıdaki gibidir:
360 aile kovası
Güvenlik Köpeği Ailesi Kovası
Kontrol edilecek ilk şey sistem günlüğüdür:
Günlüğün silindiği ve çok dikkatli yapıldığı görülebiliyor ama yine de ipuçları var.Günlük en son giriş yapıp çıkış yaptığında silinmiş olmasına rağmen silinmemiş.
Müşteri: A90B90
IP adresi: 180.191.100.119
Gördüğünüz gibi, Misafir hesabı oturum açmak için kullanılıyor. Ardından, bulut kilidi kurulu olduğu için kontrol etmeye devam edin, ardından son oturum açma günlüklerini kontrol etmek için bulut kilidine gidiyoruz.
Bulut kilidiyle ilgili çok az yararlı bilgi vardır, ancak konuk kullanıcının gerçekten bir bilgisayar korsanı tarafından değiştirildiğini doğrulamamıza yardımcı olur.
Truva atları için web sitesini tarayın
Uzun bir araştırmadan sonra çözülebilir komut dosyası olan Truva atı bulunamadı, çalışma yapılmış gibi görünüyor.
Yeterince eminim, hesapta bir klon hesabı buldum
Nima klonlandı. (Neden hala Mao yönetim şifresini değiştiriyorsun? Benimle hiçbir ilgisi olmaması sıkıcı ???? Bu kadar yaramaz olamaz mısın?)
WEB tarafında hiçbir Truva atı bulunamadı. Ardından kontrol etmeye devam edin. Ya D kalkanını öldürmekten kaçınmaksa?
Bu yüzden değişiklik zamanını kontrol edin.
Ölçütlerle eşleşen hiçbir öğenin bulunmadığını gösterir.
2018-05-222018-05-232018-05-24 İstilaya yakın olan zamanı kontrol edin.
Sonuçlar hiçbir şey göstermedi. Öyleyse devam et.
Cloud Lock aracılığıyla harici bağlantıları kontrol edin. (Ana araştırma: dinamik ve statik parazitler)
Resimde görüldüğü gibi harici bağlantı yoktur.
Sonra sistem koruma kaydını kontrol ettim
Tomcat? Öyleyse ST2 komut yürütme güvenlik açığı olacak mı? Çünkü web Truva atlarını bulamadı. Yani doğrudan bir hak artışı olabilir mi?
Ağ iletişiminden kontrol edin
Netstat -ano üzerinden
Ama cmd'yi açıp çalıştırıyorum.
CMD silindi. Bu yüzden kendim bir cmd'yi geçtim.
Ardından netstat -ano komutunu çalıştırın.
Görüntü adı PID hizmeti
========================= ======== =================== ===============
Sistem Boşta İşlemi 0 mevcut değil
Sistem 4 mevcut değil
smss.exe 328 kullanılamıyor
csrss.exe 400 Kullanılamaz
wininit.exe 452 kullanılamıyor
csrss.exe 464 kullanılamıyor
winlogon.exe 504 kullanılamıyor
services.exe 552 kullanılamıyor
lsass.exe 560 SamSs
lsm.exe 568 kullanılamıyor
svchost.exe 664 DcomLaunch, PlugPlay, Güç
svchost.exe 764 RpcEptMapper, RpcSs
svchost.exe 860 Dhcp, olay günlüğü, lmhosts
svchost.exe 912 AeLookupSvc, BITS, CertPropSvc,
IKEEXT, iphlpsvc, LanmanServer,
Program, seclogon, SENS, Sessio
ShellHWDetection, Winmgmt
svchost.exe 972 EventSystem, FontCache, netprofm
svchost.exe 1020 Netman, UmRdpService, UxSms
ZhuDongFangYu.exe 360 ZhuDongFangYu
svchost.exe 416 CryptSvc, Dnscache, LanmanWorkst
NlaSvc, WinRM
svchost.exe 272 BFE, DPS, MpsSvc
svchost.exe 1124 AppHostSvc
aspnet_state.exe 1164 aspnet_state
svchost.exe 1292 DiagTrack
d_manage.exe 1328 D_Safe
sqlservr.exe 1412 MSSQLSERVER
SMSvcHost.exe 1564 NetPipeActivator, NetTcpActivato
NetTcpPortSharing
SafeDogUpdateCenter.exe 1772 Safedog Güncelleme Merkezi
CloudHelper.exe 1824 SafeDogCloudHelper
sqlwriter.exe 2348 SQLWriter
TeamViewer_Service.exe 2380 TeamViewer
UVPUpgradeService.exe 2744 UVPGrade
uvpmonitor.exe 2776 UVPMonitor
svchost.exe 2808 W3SVC, WAS
SQLAGENT.EXE 3076 SQLSERVERAGENT
conhost.exe 3568 kullanılamıyor
UvpVssReq.exe 3968 kullanılamıyor
conhost.exe 3984 kullanılamıyor
fdlauncher.exe 2952 MSSQLFDLauncher
svchost.exe 1544 TermService
svchost.exe 12 PolicyAgent
fdhost.exe 4256 kullanılamıyor
conhost.exe 4264 kullanılamıyor
msdtc.exe 4772 MSDTC
taskhost.exe 4608 Kullanılamaz
dwm.exe 5104 kullanılamıyor
explorer.exe 4176 kullanılamıyor
Everything.exe 4244 kullanılamıyor
HwUVPUpgrade.exe 3112 kullanılamıyor
360DesktopLite64.exe 1644 kullanılamıyor
TeamViewer.exe 908 kullanılamıyor
tv_w32.exe 2480 kullanılamıyor
tv_x64.exe 4844 kullanılamıyor
HaozipSvc.exe 5008 HaoZipSvc
spoolsv.exe 5876 Biriktirici
SunloginClient.exe 3376 kullanılamıyor
SunloginClient.exe 3308 SunloginService
SunloginClient.exe 3212 kullanılamıyor
360bdoctor.exe 5216 kullanılamıyor
yshttp.exe 2604 kullanılamıyor
yshttp.exe 5100 kullanılamıyor
conhost.exe 3520 kullanılamıyor
yshttp.exe 4064 kullanılamıyor
yshttp.exe 3388 kullanılamıyor
conhost.exe 340 Kullanılamaz
360tray.exe 2620 kullanılamıyor
SoftMgrLite.exe 3512 kullanılamıyor
yunsuo_agent_service.exe 6884 YunSuoAgent
yunsuo_agent_daemon.exe 8064 YunSuoDaemon
MsDtsSrvr.exe 5852 MsDtsServer100
TeamViewer_Desktop.exe 10712 kullanılamıyor
D_Safe_Manage.exe 11244 kullanılamıyor
360Safe.exe 4360 kullanılamıyor
WmiPrvSE.exe 2652 kullanılamıyor
WmiPrvSE.exe 6848 kullanılamıyor
sll.exe 10936 kullanılamıyor
nvsc.exe 9712 kullanılamıyor
TrustedInstaller.exe 12280 TrustedInstaller
cmd.exe 6068 kullanılamıyor
conhost.exe 2320 kullanılamıyor
cmd.exe 8496 kullanılamıyor
conhost.exe 11428 kullanılamıyor
tasklist.exe 12268 Kullanılamaz
Analizi başlat
tasklist / svc | "Şüpheli İletişim PID'si" bulun
Şu anda kullandığım uzak araç olan TeamViewer_Service.exe olduğunu görebilirsiniz. (Oraya gitmedim. Sadece uzaktan analiz)
Gördüğünüz son işlem PID 10936'nın süreci Sll.exe değil, bu beni meraklandırıyor. Yani, işlem adı tuhaf.
Bu yüzden onun hakkında derinlemesine araştırma, D kalkanı açıldı. Yolu kontrol edin.
Lanet olsun. Gri güvercin mi? Bir şeyi anında anladım.
Görünüşe göre bu kontrol ediliyor. Şüphesiz. 360'ın zehiri öldürmemesine veya bildirmemesine şaşmamalı.
Takip et
Oluşturma zamanı 2018-05-22, yani sunucunun ele geçirildiği zaman, katilin belirlendiği anlaşılıyor. 22'sinde battı.
(Not: Gray Pigeon'dan sorumlu bir kişiyle biraz işbirliği vardı, bu yüzden ondan benim için kontrol etmesini istedim.)
Bu arada, dizinin günlük dosyasını da kontrol ettim.
Ayrıca zamanlanmış bir görev eklendi.
Tamam. Önce bu sunucuyu kimin kontrol ettiğini bulalım.
Takip et
Sorarak. Bu sunucudaki kullanıcıyı kimin kontrol ettiğini nasıl göreceğinizi öğrendim.
Kök dizinin ID.rdb içeriğinde BASE64 kod çözme gerçekleştirin.
Sonra ona ilk kullanıcı kimliğini gönderdi. . .
Kullanıcı adını gördüğümde. an. (Daha sonra bu kimlikle kontrol edilen tüm sunucuların liste bilgileri alındı. Bulundu. 100 sunucu vardı)
Bu 100 istasyon arasında. Sonunda güvenliği ihlal edilen sunucu IP'sini buldum.
O zamandan beri onu hemen buldum ve sordum.
Ertesi gün bana cevap.
Red me. Siyah o.
Öyleyse, kimin yaptığını sormasını bekleyin.
Siyah siyah geniş. Kırmızı benim arkadaşım.
Sonunda istila yöntemini öğrendi. (0 gün sürdü. Daha sonra yan siteye sızdı. Sunucu izni alındı. Bu sunucuda onlarca web sitesi var.)
Şimdiye kadar acil durum bitti. Neyse ki veriler yok edilmedi. (Not: IIS günlüğü tam olarak kaydedilmemiştir. Kontrol etmenin faydası yoktur. Ve 22'nci gündeki öncekiler silinmiştir. Sadece 23'üncü. Yani çok fazla değer bilgisi yoktur.)
Yazar: Cheng Yin çevrimiçi forumları, şu adresten yeniden basılmıştır: https: //bbs.ichunqiu.com/forum.php mod = viewthreadtid = 41036highlight =% E6% BA% AF% E6% BA% 90?
