wordpress 建网站,腾讯建站官网,拓者设计吧网站官网,嘉祥县网站建设前言#xff1a;此次应急响应为真实案例#xff0c;客户反馈无法通过密码登录服务器#xff0c;疑似服务器被入侵
0x01 如何找回密码#xff1f;
客户服务器为windows server2019#xff0c;运维平台为PVE平台#xff1b;实际上无论是windows系统或者是linux系统#…前言此次应急响应为真实案例客户反馈无法通过密码登录服务器疑似服务器被入侵
0x01 如何找回密码
客户服务器为windows server2019运维平台为PVE平台实际上无论是windows系统或者是linux系统只要磁盘没有加密的情况都可以通过挂载live盘的模式加载外部系统对密码进行修改linux修改密码只需要替换掉/etc/shadow 即可覆盖密码而windows系统则更简单只需要使用类似大白菜之类的系统工具即可清空系统密码当然了没人敢上去就在客户那瞎搞所以首先当然是把镜像导出来而pve导出系统镜像为qcow2格式这个格式是没办法直接在vmare上直接操练的所以需要借助工具转化一下
qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk
导出后即可在vmare产品创建一个windows的虚拟机空壳然后将vmdk磁盘挂载即可具体过程请大家自行百度此处不赘述
下图为挂载后正常开机的效果
解锁后确实是无法进入系统的但是随便点了几下shift后笔者发现了个有趣的东西 一个疑似shift后门的东西出来了还是魔改带密码的shift后门这就不着急改密码了笔者本来想直接利用FTK进行磁盘挂载然后将注册表取出来看一下注册表结果邪门的事发生了就是挂载的注册表里竟然没有sethc.exe的键值… 这会不想重置密码都不行了因为找不到注册表的话就不知道他的密码写在什么位置了 此处借用老白菜的live镜像去挂载系统这样启动的话直接就可以进老白菜系统不需要去调bios 但是需要设置一下打开电源进入固件 系统重启后会自动进入老白菜工具面板使用密码管理工具将administrator 这个时候发现了一个mysql用户经过与客户沟通该用户确定并非客户创建
0x02 shift后门在哪里
置空administrator后直接可以无密码进入系统了这个时候再看一下注册表发现注册表里又有sethc.exe键值了… 根据路径发现了有意思的东西
从这个注册表劫持文件可以看出来该工具加载mysql.bat的文件用户名当然不是文件里的admin而是文件名字“mysql”但是密码是里面的password字段 尝试使用一下他的后门 权限还是system权限太厉害了集霸们
0x03 mysql用户里有什么
利用得到的密码登录mysql用户 好好好好活当赏这是要挖矿啊
0x04 集霸是通过什么漏洞入侵服务器的
返回到administrator用户开始翻日志但是在翻日志之前看了一眼开放的端口、正在运行的服务和系统资源的占用发现系统开放了445/3389端口没有奇怪的外连进程没有挖矿进程资源也没有出现波动
啥也没有但是看端口猜测是暴力破解server2019也没听说有溢出漏洞(最新的那个RDP溢出暂时不考虑在内因为这个应急是在演练之前的嘻嘻嘻) 通过查看系统安全日志发现在计算机出现异常当天的登录失败日志(id为4625)高达两万五千次
继续筛查4624登录成功日志发现时间节点 7:27:23 PM administrator用户从网络登录到本机(疑似使用SMB网络共享)猜测爆破密码成功
0x05 集霸是什么时候创建的mysql用户
筛选4720 日志该日志为创建用户日志 时间 7:28:42 PM 攻击者使用Administrator创建用户mysql 用户
通过筛选计算机系统安全日志4724/4738发现在7:28:42 PM 时间节点攻击者使用administrator用户修改了mysql用户的密码 而后在 7:37:30 PM 发现mysql用户使用远程桌面方式登录桌面(rdp)
筛选4738系统安全日志发现 7:43:45 PM时间节点确认administrator密码被篡改因此发生无法登录的情况
0x06 集霸是什么时候将挖矿工具部署在服务器里的
查看system日志7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0安装服务文件名为WinRing0x64.sys。通过日志可以得知挖矿软件位于C:\Users\administrator\Desktop\xmrig-6.21.3下
查看system日志7:41:24 PM系统安装了一个可疑服务WinRing0_1_2_0安装服务文件名为WinRing0x64.sys。通过日志可以得知挖矿软件位于C:\Users\mysql\Desktop\xmrig-6.21.3下
接下来查看application应用日志发现在5/26/2024 7.36.01 PM运行了xmrig程序同时该程序由于报错而并未成功运行windows error reporting报错表明发生了内存泄漏或资源耗尽预警type 5RADAR_PRE_LEAK_64 但是只看到了对应在administrator桌面运行挖矿软件的时间没有看到mysql对应的运行日志似乎部署之后就没再管了当然了administrator的挖矿软件也已经被删除掉了
事已至此基本也就确定了攻击者通过暴力破解登录系统创建mysql用户部署shift后门并修改注册表劫持粘连键并非常规的替换setch.exe设置后门 最后部署挖矿软件在挖矿软件启动失败后直接把administrator密码给替换掉了
后续就是帮客户把密码改了因为拿到了mysql用户的密码所以直接用粘连键后门就把密码重置了而后大家懂的都懂
