请选择 进入手机版 | 继续访问电脑版
 找回密码
注册
查看: 224|回复: 0

某家医药公司处理门罗币

[复制链接]

该用户从未签到

发表于 2019-3-8 03:14:36 | 显示全部楼层 |阅读模式
                                     某家医药公司处理门罗币   大家好我是一个it从业者,在成都是一名运维,热爱计算机安全技术,06年入行,从DOS系统玩到现在Windows10系统,07年熊猫烧香肆掠,处理了很多病毒,比如当年的机器狗,AV终结者,磁碟机,各种盗号木马,鬼影,魔波到现在各种挖矿以及勒索病毒
使用过全球各大杀毒软件,NOD32,Kapersky,诺顿,蜘蛛,国内的瑞星,微点,江民,金山以及现在的火绒,以及一些进程分析进程工具,ExplorerProcess,Pchunter,火绒剑,早期的冰刃等分析工具,对windows系统和linux系统都有学习,网络技术,我是从2009年看来黑客X档案杂志,就喜欢上了安全技术,也学过C,VB等编程语言,本人不才,不是很精通也不熟悉,但是爱学习,第一次在吾爱破解论坛发表日志,如果写得不好,请各位大神和兄弟朋友们指正和批评,共同提高。
      废话少说,切入正题,这件安全事件发生在去年7月份左右,成都某家医药公司Windows2008R2服务器系统加医药软件ERP和SQLServer2008数据库被注入,出现了问题,当时sql已经无法正常sa登录了,路由器大量流量攻击,于是深入了进行排查,门罗币挖矿
  具体现象是那天突然他们说SQL很卡,觉得不对于是远程服务器sql登录不上,反复登录几次才行,于是发现sql作业不对这么多作业,如图:
   



根据上面的两张图肯定显示不正常,第一作业这么多sql注入代码,上面kougou2010,而且sa密码登录失败,密码肯定是对的,身份验证也不行,那么多肯定别注入了,到底这些代码到底什么意思,具体不解,但是作业也熊随便删除害怕影响正常作业,当时心情很着急,害怕搞不定,因为整个公司几乎陷入瘫痪,总部和门店无法开展业务,然后和领导安排,通知大家停业2个小时,备份数据库,重装系统系统,于是装上火绒杀软,火绒一直提示远程攻击,被拒绝,当时服务器很卡,肯定明显中毒了,SQL别注入了,到底谁注入的,黑客,还是病毒呢,于是重启服务器进入pe,备份数据库,难道重装系统,但是装了系统,又要安装驱动和数据库和恢复数据库可能会浪费更多时间,恢复数据库的时候肯定会把有问题的作业一起恢复过来,这样就造成重复被感染,与果然禁用网卡和拔掉服务器的网线,以免内网传播感染其他客户机,于是深入了排查。
   首先已经告诉公司所有同事停下业务,那么kuogu2010等其他作业这么多,这些文件在哪里来的,解决什么问题肯定要有逻辑和思路,那么肯定系统盘可能会有kukou2010等文件,于是打开没有,费解半天,于是打开隐藏文件果然有,
删除能搞定吗,但是无法删除提示无法权限,右键属性打开nfts安全设置,没发现异常,于是禁用sql非法作业,禁用后,打开kukou2010发现了有批处理,如图所示
                     

看到上面的图片稍微熟悉dos命令和批处理就知道大概逻辑和意思了,名都作者很聪明,首先注册非法文件和动态链接库文件并开始远程开始注册和域名地址和域名,肯定是病毒作者的域名地址,然后通过attrib命令隐藏文件属性和cacls设置盘符权限,强制结束进程删除文件,删除其他批处理文件和system32所有日志,病毒作者太狡猾了,那么我们干掉这个文件不是就可以了吗?但是无法提示不行,于是火绒剑出窍谁与争锋,查找服务进程和服务看是否有结果,如图
     
看到没,就是这个位置文件,并且远程传输和时间,于是怎么干掉删除,那么肯定加入了windows的任务计划,如图:
   



上面两张图一个是服务和任务计划,首先利用火绒任务计划功能删除,然后手动禁用msinfo服务,后面手动干掉kugou2010文件夹,删除,然后不能让它再次生成,你可以用权限,我也可以,windows权限也至高无上的,如图所示:
         

那么服务和计划都被干掉了和文件都干掉被设置了权限阻止生成,那么windows下首先要考虑注册表启动项如图:
     
如上图所示,火绒提示未发现可疑的了,手动打开注册表启动项只有火绒和输入法启动项,完美了吗,肯定没有,

















这几张图分别是火绒主动防御的提示被攻击已被阻止,然后再看看这个批处理,也是注册并隐藏设置权限属性,删除其他批出文件并且删除注册表启动项,taskkill命令结束进程清空日志,病毒作者很聪明,再看看路由器wan1流量,草1万多个外网连接,肯定不正常,肯定有很多非法外网连接ip,





以上两张图片我用了路由追踪命令tracert百度1000ms的延迟,这种延迟根本无法打开网页,还不要说办公,批处理的图片,病毒作者get就是获得了mssql数据库端口1433甚至一些弱口令和密码数据等重要信息,还bye草。并且上传到自己的域名网站,后去挖矿数据。
  那么防御,路由器全部固定ip绑定和MAC地址,








经过一些安全设置和一些病毒的处理,外网连接正常了,




处理后,在打开百度搜索看,看看杀毒软件的人专业分析,果然的确这样,这样更明确了,然后继续找出外网ip,利用360杀毒,如图:
   

这两张图一个是我和舵手客服的对话,以及360杀毒提示SQL注入的外网ip,百度查这个ip是江苏的,那么路由器安全策略封了以及防火防火墙。那么完事了吗,然后升级所有漏洞补丁封杀135,445等危险端口,这个病毒是利用永恒之蓝漏洞疯狂传播
   






然后查看路由器正常了,火绒剑查看ip也是成都的,这个ip是某个门店的ip正常。
   






最后打开火绒漏洞已经没有了,修复完毕,木马查杀没有了,日志也没有提示攻击了,下面我们来看看我和舵手的经典对话,这里发出图片不是针对他,
      






当时我很大感觉可能别攻击了,这次攻击的是服务器,经过2小时终于搞定,漏洞也全部修复完了,虽然我不精通熟悉sql,但是我们要深入排查,能学到很多知识,兄弟我不是针对你,你也帮了很多忙,还有欧阳老师以及其他朋友的帮助,最主要我找出攻击源,下面是逻辑图
      
写在最后,网络永远没安全的时候,网络管理员不管水平,要有责任,要大胆解决,不管能力是否足够,都可以去深入挖掘,不懂可以百度,问问其他同行,我就是这样的人,对了,还有防护措施,更改sql端口,设置负责密码,以及sql权限进行控制才能完美。最后如果这篇文章写的不好,请各位朋友给予批评和指正。好累







上一篇:Win10系统设置和恢复DPI的小工具
下一篇:求指导,接受付费
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则