【应急靶场】Win Server Web1入侵排查
Windows Server Web1入侵排查
一、环境搭建
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
- 攻击者的shell密码
- 攻击者的IP地址
- 攻击者的隐藏账户名称
- 攻击者挖矿程序的矿池域名(仅域名)
- 有实力的可以尝试着修复漏洞
网盘下载压缩包,解压后,在高版本(大于17.5)的VM中扫描打开
获取所有权并开启靶机
二、排查后门账户
先简单用命令查看一下
1 | net user |
没有可疑用户,查看账户管理,发现隐藏用户 hack168$
注册表中未发现更多的克隆用户
查看本地用户和组管理:
- 查看用户
- 查看管理员组
可以确定hack168$
这个用户是一个隐藏的后门用户
三、检查端口、进程
1、端口检查
1 | netstat -ano |
可以看到与某IP的80端口已经建立了连接
可以通过如下将与此IP 的所有链接切除
1 | tasklist | findstr "7712" |
2、进程排查
为了进一步上述端口连接是恶意连接,我们可以通过端口连接的进程号检测其进程
msinfo32
在“系统信息”->“软件环境”->“正在运行任务”中查看该进程信息
属于“三无产品”,基本可以猜测属于恶意进程
我们通过火绒剑或者D盾等工具,检查7712是否存在守护进程
确实存在7444的守护进程
四、自启动后门排查
1、计划任务排查
【控制面板】—【系统安全】—【计划任务】
安全的计划任务,无后门
2、服务排查
服务这里也没有异常
3、自启动文件夹排查
4、自启动注册表项
有众多启动东注册表项,不一一展示了,均无后门存在
五、日志检测
1、windows安全日志
针对用户的登陆,我们主要查看安全日志。可以从【事件查看器】中查看windows 的安全日志,此日志存储位置:
1 | %SystemRoot%\System32\Winevt\Logs\Security.evtx |
2、Web日志检测
靶场是通过phpstudy 搭建网站,我们直接到apache的日志目录下查看成功日志
日志数据不算多,我们通过在线网站简单分析下
60条记录以上是本地服务器在访问,60以下发现192.168.126.1
这个IP 在对本地web进行了访问
97条记录以上还算正常,但是从98条记录开始,192.168.126.1
不停的对一个路径以1s几乎20次速度进行访问,疑似爆破行为
在5分钟之内发起了近5700次访问,正常访问远远达不到这样的速度,结合爆破的路径,确认该IP存在账号密码爆破行为
在后面的行为中恶意IP疑似进行了上传操作,结合上述爆破行为,确认恶意IP已经爆破成功并且进入了后台管理
继续往后看,恶意IP通过插件上传功能上传了木马文件shell.php,上传点位于/content/plugins/tips/shell.php
查看该木马文件,连接密码是冰蝎默认密码rebeyond
一直到最后都是对该木马文件的访问
六、病毒文件排查
我们对隐藏用户hack168$
用户的家目录进行排查,在桌面找到一个可疑文件,运行之后CPU飙升,判别为挖矿病毒
该病毒图标为pyinstaller 打包后的exe默认图标,我们用pyinstxtractor 进行反编译
1 | python pyinstxtractor.py Kuang.exe |
得到pyc文件
通过pyc在线反编译工具进行反编译,得到挖矿程序的矿池域名http://wakuang.zhigongshanfang.top
七、使用工具一把梭
1、木马文件
2、克隆用户
3、系统补丁漏洞
4、日志检测