idc机房被入侵后分析修复报告

12号是一台服务器,37,今天中午到了之后发现同网段的40 、41 、35  也被黑了,黑客通过1433(SQLServer)、139(Netbios)、135(IPC)、445(SMB)、1521(Oracle)、8080(Tomcat)弱口令和漏洞的扫描

wps_clip_image-321

还有个1433批量抓鸡的工具:阴影1433Vip解封版.rar

image

拿下主机后安装后门,然后继续扫描其他机房主机的漏洞,木马后门有下面的Server_Setup.exe (远控)、Server.exe (远控)

、粘滞键后门sethc.exe 、3389远程登录密码记录工具WinlogonHack

wps_clip_image-6032远控木马

wps_clip_image-25985

黑客攻击工具“迓g.exe”

wps_clip_image-14015攻击工具

wps_clip_image-2244对方远控客户端IP和上线域名

wps_clip_image-7341

wps_clip_image-29046

wps_clip_image-30268

攻击者留下的文本

wps_clip_image-122

42服务器上的木马程序Ball.exe复活型木马

wps_clip_image-29247

40服务器上的后门

wps_clip_image-7398

wps_clip_image-18619

对方扫描传马的FTP和传马脚本

wps_clip_image-32460

wps_clip_image-14616

wps_clip_image-6442

wps_clip_image-7876

wps_clip_image-25715

wps_clip_image-30755

wps_clip_image-5713

wps_clip_image-22969

部分日志记录

wps_clip_image-30869

121.19.11.138

wps_clip_image-22519

 

处理进度:

37服务器禁用了sa,管理员Administrator改名。

删除了4台服务器的粘滞键后门、添加的用户、

配置了41服务器的权限、改掉1433端口 1030,改掉3389端口 4110、ip指派禁掉了攻击者的一个ip:121.19.11.138。

重新安装了数据库程序被破坏的机器上的数据库,重新安装后给sa设置了较强的密码并禁用。

分析和总结:

攻击者是名为 圣心网安 的小组,成员有seek、安东尼、康熙哥、小裴哥、圣心哥、滔滔等人,主要是通过1433扫描破解sa密码得到系统权限并安装后门木马程序,继续扩大入侵范围。和周之翔讨论分析后查看了机房的部分服务器,发现有异常的4台都是安装有SQLServer的,而16、20没有安装SQLServer则并无异常。在安装SQLServer时选择验证方式为Windows/SQLServer混合验证,当时没有给sa用户设置密码导致黑客破解登录。

37上攻击者中下的远控木马分析

Server_Setup.exe木马行为

灰鸽子木马

释放木马文件C:\WINDOWS\ATSKMNA.EXE

注册服务TSDP Discovery ServiceS:

描述 启动您家庭网络上的 UPP设备管理.

可执行文件路径 C:\WINDOWS\ATSKMNA.EXE

wps_clip_image-24677

新建 C:\WINDOWS\wengxiao.BAT

删除 C:\WINDOWS\wengxiao.BAT

注入IEXPLORER.EXE进程连接域名yuanlt.3322.org的8000端口

修改注册表HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\ImagePath值"C:\WINDOWS\ATSKMNA.EXE"

456050 394.86431885 services.exe:396 QueryValue HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\Description BUFFER OVERFLOW

456051 394.86434937 services.exe:396 QueryValue HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\Description SUCCESS "启动您家庭网络上的 UPP设备管理."

456052 394.86434937 services.exe:396 CloseKey HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS SUCCESS

删除方法:

执行命令:sc delete "TSDP Discovery ServiceS" 删除木马注册的服务;

终止进程IEXPLORER.EXE(用户为SYSTEM)后删除C:\WINDOWS\ATSKMNA.EXE。

Server.exe

连接到

wps_clip_image-1036

防杀毒 zhudongfangyu.exe (破坏360进程)

Program Files\360\360Diagnose.exe

ravMonD.exe Rstray.exe (破坏瑞星进程)

新增项SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

添加svchost后安装服务 %SystemRoot%\System32\svchost.exe -k netsvcs

HKLM\SYSTEM\ControlSet001\Services\xmlprvorjrq

HKLM\SYSTEM\ControlSet001\Services\xmlprvorjrq

C:\Documents and Settings\xmlprvor.dll

添加了Network Provisioning Services服务

删除方法:

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 下面的netsvcs中xmlprvorjrq的值

删除sc delete "Network Provisioning Services"(正常服务名"Network Provisioning Service",

后面没有S),如提示指定的服务未安装则用后面命令删除:sc delete "xmlprvorjrq"

结束一个System启动的Svchost.exe进程

删除C:\Documents and Settings\xmlprvor.dll

源链接

Hacking more

...