12号是一台服务器,37,今天中午到了之后发现同网段的40 、41 、35 也被黑了,黑客通过1433(SQLServer)、139(Netbios)、135(IPC)、445(SMB)、1521(Oracle)、8080(Tomcat)弱口令和漏洞的扫描
还有个1433批量抓鸡的工具:阴影1433Vip解封版.rar
拿下主机后安装后门,然后继续扫描其他机房主机的漏洞,木马后门有下面的Server_Setup.exe (远控)、Server.exe (远控)
、粘滞键后门sethc.exe 、3389远程登录密码记录工具WinlogonHack
黑客攻击工具“迓g.exe”
攻击者留下的文本
42服务器上的木马程序Ball.exe复活型木马
40服务器上的后门
对方扫描传马的FTP和传马脚本
部分日志记录
121.19.11.138
处理进度:
37服务器禁用了sa,管理员Administrator改名。
删除了4台服务器的粘滞键后门、添加的用户、
配置了41服务器的权限、改掉1433端口 1030,改掉3389端口 4110、ip指派禁掉了攻击者的一个ip:121.19.11.138。
重新安装了数据库程序被破坏的机器上的数据库,重新安装后给sa设置了较强的密码并禁用。
分析和总结:
攻击者是名为 圣心网安 的小组,成员有seek、安东尼、康熙哥、小裴哥、圣心哥、滔滔等人,主要是通过1433扫描破解sa密码得到系统权限并安装后门木马程序,继续扩大入侵范围。和周之翔讨论分析后查看了机房的部分服务器,发现有异常的4台都是安装有SQLServer的,而16、20没有安装SQLServer则并无异常。在安装SQLServer时选择验证方式为Windows/SQLServer混合验证,当时没有给sa用户设置密码导致黑客破解登录。
37上攻击者中下的远控木马分析
Server_Setup.exe木马行为
灰鸽子木马
释放木马文件C:\WINDOWS\ATSKMNA.EXE
注册服务TSDP Discovery ServiceS:
描述 启动您家庭网络上的 UPP设备管理.
可执行文件路径 C:\WINDOWS\ATSKMNA.EXE
新建 C:\WINDOWS\wengxiao.BAT
删除 C:\WINDOWS\wengxiao.BAT
注入IEXPLORER.EXE进程连接域名yuanlt.3322.org的8000端口
修改注册表HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\ImagePath值"C:\WINDOWS\ATSKMNA.EXE"
456050 394.86431885 services.exe:396 QueryValue HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\Description BUFFER OVERFLOW
456051 394.86434937 services.exe:396 QueryValue HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS\Description SUCCESS "启动您家庭网络上的 UPP设备管理."
456052 394.86434937 services.exe:396 CloseKey HKLM\SYSTEM\ControlSet001\Services\TSDP Discovery ServiceS SUCCESS
删除方法:
执行命令:sc delete "TSDP Discovery ServiceS" 删除木马注册的服务;
终止进程IEXPLORER.EXE(用户为SYSTEM)后删除C:\WINDOWS\ATSKMNA.EXE。
Server.exe
连接到
防杀毒 zhudongfangyu.exe (破坏360进程)
Program Files\360\360Diagnose.exe
ravMonD.exe Rstray.exe (破坏瑞星进程)
新增项SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
添加svchost后安装服务 %SystemRoot%\System32\svchost.exe -k netsvcs
HKLM\SYSTEM\ControlSet001\Services\xmlprvorjrq
HKLM\SYSTEM\ControlSet001\Services\xmlprvorjrq
C:\Documents and Settings\xmlprvor.dll
添加了Network Provisioning Services服务
删除方法:
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 下面的netsvcs中xmlprvorjrq的值
删除sc delete "Network Provisioning Services"(正常服务名"Network Provisioning Service",
后面没有S),如提示指定的服务未安装则用后面命令删除:sc delete "xmlprvorjrq"
结束一个System启动的Svchost.exe进程
删除C:\Documents and Settings\xmlprvor.dll