Windows Server Web1入侵排查

一、环境搭建

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统，请你找出以下内容，并作为通关条件：

攻击者的shell密码
攻击者的IP地址
攻击者的隐藏账户名称
攻击者挖矿程序的矿池域名(仅域名)
有实力的可以尝试着修复漏洞

网盘下载压缩包，解压后，在高版本（大于17.5）的VM中扫描打开

获取所有权并开启靶机

二、排查后门账户

先简单用命令查看一下

net user

没有可疑用户，查看账户管理，发现隐藏用户 hack168$

注册表中未发现更多的克隆用户

查看本地用户和组管理：

查看用户
查看管理员组

可以确定hack168$这个用户是一个隐藏的后门用户

三、检查端口、进程

1、端口检查

1	netstat -ano

可以看到与某IP的80端口已经建立了连接

可以通过如下将与此IP 的所有链接切除

1	tasklist \| findstr "7712"

2、进程排查

为了进一步上述端口连接是恶意连接，我们可以通过端口连接的进程号检测其进程

msinfo32在“系统信息”->“软件环境”->“正在运行任务”中查看该进程信息

属于“三无产品”，基本可以猜测属于恶意进程

我们通过火绒剑或者D盾等工具，检查7712是否存在守护进程

确实存在7444的守护进程

四、自启动后门排查

1、计划任务排查

【控制面板】—【系统安全】—【计划任务】

安全的计划任务，无后门

2、服务排查

服务这里也没有异常

3、自启动文件夹排查

4、自启动注册表项

有众多启动东注册表项，不一一展示了，均无后门存在

五、日志检测

1、windows安全日志

针对用户的登陆，我们主要查看安全日志。可以从【事件查看器】中查看windows 的安全日志，此日志存储位置：

1	%SystemRoot%\System32\Winevt\Logs\Security.evtx

2、Web日志检测

靶场是通过phpstudy 搭建网站，我们直接到apache的日志目录下查看成功日志

日志数据不算多，我们通过在线网站简单分析下

60条记录以上是本地服务器在访问，60以下发现192.168.126.1 这个IP 在对本地web进行了访问

97条记录以上还算正常，但是从98条记录开始，192.168.126.1不停的对一个路径以1s几乎20次速度进行访问，疑似爆破行为

在5分钟之内发起了近5700次访问，正常访问远远达不到这样的速度，结合爆破的路径，确认该IP存在账号密码爆破行为

在后面的行为中恶意IP疑似进行了上传操作，结合上述爆破行为，确认恶意IP已经爆破成功并且进入了后台管理

继续往后看，恶意IP通过插件上传功能上传了木马文件shell.php，上传点位于/content/plugins/tips/shell.php

查看该木马文件，连接密码是冰蝎默认密码rebeyond

一直到最后都是对该木马文件的访问

六、病毒文件排查

我们对隐藏用户hack168$用户的家目录进行排查，在桌面找到一个可疑文件，运行之后CPU飙升，判别为挖矿病毒

该病毒图标为pyinstaller 打包后的exe默认图标，我们用pyinstxtractor 进行反编译

1	python pyinstxtractor.py Kuang.exe

得到pyc文件

通过pyc在线反编译工具进行反编译，得到挖矿程序的矿池域名http://wakuang.zhigongshanfang.top

七、使用工具一把梭

1、木马文件

2、克隆用户

3、系统补丁漏洞

4、日志检测