摘要: 今天接到朋友电话,说客户的某服务器被黑……不但增加了一个管理员帐号,还把Administrator的密码也改了,顺便还修改了RDP的端口……这,着实恶劣,于是过去帮忙看看! 去的时候,客户已经自己做了杀毒,大概看了下,基本已经查杀干净了。问了下事情的经过,和服...
今天接到朋友电话,说客户的某服务器被黑……不但增加了一个管理员帐号,还把Administrator的密码也改了,顺便还修改了RDP的端口……这,着实恶劣,于是过去帮忙看看!
去的时候,客户已经自己做了杀毒,大概看了下,基本已经查杀干净了。问了下事情的经过,和服务器上的应用,初步认定是某软件,出厂内置了某个在SQL Server下面SA权限的帐号……傻逼一样的国际大厂啊……这个帐号名字和口令还内置了,不能修改啊!;MB的老子说出去肯定竞争对手偷着乐啊!你MB的不想我公布的话就赶紧修改啊!你妹的去年就因为这个被黑过一次了啊!TM的网上搜还好多客户的因为这个被黑啊!
好了,不骂了,国际大厂,2B风范。
后来通过查看Windows日志(还好,初级黑客,所以日志都在),发现:昨晚就开始行动,开始无数次扫描SQL Server的弱口令,后来……对,应该是这个厂家的弱密码在黑客的密码表里面……就尝试成功了。
然后直接xp_cmdshell,你懂的,SQL Server的存储过程的威力……游侠原创:通过SQL Server 5分钟获取服务器权限
拿下管理员权限后,传了N个木马、做了计划任务、上传了DDoS工具、装了Cain抓密码……and so on
然后,然后一早上班就被客户发现,直接断了网线……
在Cain的目录下,发现有文件指向一个IP,打开之后发现是个HFS搭建的WEB服务器,上面有个server.exe文件,于是下载之,并放到金山火眼做了下分析,这里贴上分析报告。
“火眼”分析报告下载:关键行为、完整报告(请“右键另存为”)
顺便说下,金山火眼(https://fireeye.ijinshan.com/)是个不错的系统,虽然有人说可以设置判断条件绕过,但是……的确还是少数。值得推荐!
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
