[学习记录] windows server靶场挖矿病毒应急响应——3389端口弱口令爆破导致

已于 2024-04-12 22:37:18 修改
阅读量963 收藏 8
点赞数 4
分类专栏: 学习记录 应急响应 文章标签: 学习 web安全 服务器
于 2024-04-12 19:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41750781/article/details/137683548
版权
本文描述了一次服务器故障调查,发现服务器被挖矿病毒感染并通过3389端口进行弱口令攻击。经过排查,确定了攻击路径、病毒来源和后门行为,最后提供了详细的修复措施。
摘要由CSDN通过智能技术生成

1. 场景

客户反映服务器风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
服务器版本:Window Server 2008

2. 排查挖矿程序

打开任务管理器,发现CPU占用100%
1CPU占用
查看进程,发现可疑进程javs.exe
2 可疑进程
打开文件位置,记录文件的修改时间:2023/3/23 9:39
3文件路径
下载该文件,上传到云沙箱分析,确认为挖矿病毒
4确认挖矿病毒
或者查看配置文件config.json,查询其中的url
5url
url为矿池,说明该程序为挖矿病毒
6url分析

3. 溯源攻击路径

使用火绒剑查看计划任务,发现未知文件"system"指向javs.exe
7计划任务
右键查看文件属性,记录"system”的创建时间:2022/3/23 9:46:17。如果看不到,就用任务计划程序查看创建时间
8任务计划程序
该服务器上没有搭建web程序,排除web漏洞
查看系统属性,发现打开了3389端口
9系统属性
使用火绒剑确认3389端口开放
10端口3389

考虑可能有人通过3389端口进行弱口令爆破登录过这台服务器,查看windows安全日志,2022/3/23 9:46:17之前的记录,发现存在异常IP登录成功
11异常登录
时间上再往前,发现异常主机的大量审核失败记录,说明攻击者使用这台主机进行了弱口令爆破,在2022/3/23 9:37:23 首次登录成功,2023/3/23 9:39上传挖矿矿程序,2022/3/23 9:46:17添加计时任务
12爆破记录
查看映像劫持,发现shift粘滞键指向了cmd.exe,说明攻击者留下了后门,当用户按下5次shift键,会执行恶意代码
13映像劫持

4. 修复

  1. 删除shift粘滞键映像劫持
  2. 删除‘system’计划任务
  3. 结束javs.exe进程
  4. 删除javs.exe所在的目录
  5. 修改用户密码
  6. 将3389端口关闭或修改数值
渗透未止
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3389爆破DUBrute_2.1
weixin_30408309的博客
07-22 360
3389专业爆破 DUBrute_2.1.zip http://pan.baidu.com/s/1pJE0t5L 转载于:https://www.cnblogs.com/lieyan/p/3859696.html
3389端口3389端口的好处与坏处及封禁危险端口的必要性
最新发布
day3ZY的博客
05-17 963
同时,封禁不必要的端口还可以减少潜在的安全漏洞和攻击面,提高系统的整体安全性。通过封禁危险端口和加强安全管理措施,可以平衡远程访问的便利性和系统安全性之间的关系,确保系统的稳定运行和数据安全。在实施封禁危险端口的策略时,需要根据实际情况进行评估和决策。系统管理员或技术支持人员可以利用3389端口远程访问用户的计算机,进行故障排查、系统维护、软件更新等操作,降低了现场支持的成本和时间。通过3389端口,用户可以远程连接到办公室或家庭中的计算机,实现远程办公、文件传输、软件安装等操作,提高了工作效率和灵活性。
个人电脑中挖矿病毒程序 一把梭直接定位到人
Python_paipai的博客
05-14 608
朋友抱怨自己的服务器非常卡,因为存储了很多项目资料和集成了众多环境。作为好友,我自然义无反顾地帮他检查。原本以为仅需进行简单的杀毒和文件整理便足够,但最终这个过程花费了不少时间。正好借此机会记录下整个过程,并写成这篇文章。首先,确定问题的根源,确认系统中了木马。清除系统中的所有可疑进程、启动项、计划任务、后门以及异常账户。使用审计主机和Web日志,定位入侵的具体入口。通过反追踪技术获取到肉鸡权限,并发现外部连接的地址。尽力溯源,确定具体人员身份(虽然不一定能百分百确认)。
口令暴力破解--Telnet协议暴力破解、数据库暴力破解与远程桌面暴力破解
薛定谔的猫
04-12 5606
用户可以通过输入用户名和密码来登录数据库服务器。输入如下命令:exec master.dbo.xp_cmdshell 'ipconfig',再输入go,可以发现ipconfig成功执行,获取目标操作系统的ip信息。开启kali-linux虚拟机,打开命令行窗口运行NMAP,输入命令nmap -v -A -Pn 193.168.1.24,对该IP地址进行扫描。在本机打开命令行,输入mysql -h 193.168.1.38 -u root –p,输入密码admin888,尝试登录mysql服务器
关于Windows服务器扫描3389端口漏洞处理方案(仅作参考)
weixin_45046360的博客
05-14 581
Windows,3389,远程桌面
九头蛇3389远程爆破
DANNY1DXY的博客
06-14 6704
九头蛇3389远程爆破
av0day版3389爆破工具
04-14
软件大小:1.29 MB (1,362,894 字节)
3389爆破服务器全过程与原理
热门推荐
yu0784123的专栏
06-19 1万+
3389是一个远程桌面的端口,很多人为了更方便管理服务器,更新服务器上的资源等,经常会开启3389端口,用nastat -an命令可以查看该端口的开启。对于一个账户如果账号密码过于弱很容易被爆破到,一般默认账号为Administrator,极少会是admin,而对于过于简单的密码,在3389密码字典中均可找到,下面来讲解爆破3389服务器,获得一台服务器的全过程。     工具:DUbr
cpp-RDP3389爆破防护
08-16
RDP(3389)爆破防护
在线服务器密码爆破,服务器3389被爆破,我想知道他用哪些密码尝试过 - winServer论坛 - 51CTO技术论坛_中国领先的IT技术社区...
weixin_39866867的博客
08-02 3181
最易被破的密码:3651234561141234510512349312392root84qwerty76test751q2w3e4r721qaz2wsx66qazwsx65123qwe591255123qaz55000052oracle50123456747123456qwerty45password1234412345...
弱口令超级扫描,可扫描3389,1433,22,21等端口并且爆破密码
04-23
弱口令超级扫描,可扫描3389,1433,22,21等端口并且爆破密码,效率快,准确率高 还支持C段,输入一个域名可以批量关联服务器,还能自动获取2级域名和旁站域名进行安全探测
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场应急响应教程参考链接:...
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
针对3389端口管理截获及防御措施的专业分析
day3ZY的博客
04-22 495
通过强密码策略、防火墙配置、定期更新和补丁管理、VPN使用、日志监控和审计以及备份和恢复计划的综合应用,可以有效降低被截获的风险,确保网络环境的安全稳定。同时,关闭不必要的端口和服务,以减少潜在的攻击面。4. 使用VPN或专用网络:通过VPN或专用网络进行远程访问,可以增加数据传输的安全性,并减少被截获的风险。1. 端口扫描:攻击者可以使用端口扫描工具来识别目标主机上开放的3389端口,从而确定潜在的攻击目标。3. 定期更新和补丁管理:保持Windows系统和远程桌面服务的更新,及时修复已知的安全漏洞。
DUbrute爆破3389(笔记)
边城浪子的博客
11-14 2850
一.xp系统支持syn扫描。先破解syn扫描限制 ,或在win2003上面使用dubrute1.界面意思: ?Source表示“源”。 ?Bad表示“失败的” ?Good表示“成功的” ?Error表示“错误的” ?Check表示:“检测” ?Thread表示“线程” ?Start表示“开始” ?Stop表示“停止” ?Config表示“配置” ?Generation 表示“生成” ?About表...
应急响应 windows靶场
10-19
应急响应(Incident response)是指在发生安全事件后,及时采取措施进行识别、分析、处置和修复的过程。而Windows靶场则是指为了模拟实际环境中的安全漏洞和攻击场景而搭建的一个可以用于演练和训练的环境。 在应急响应过程中,Windows靶场可以起到以下几个重要的作用。 首先,Windows靶场可以帮助安全团队模拟实际的攻击场景并进行实战演练。通过在靶场中搭建各种安全漏洞和攻击场景,可以让安全人员在一个相对封闭和安全的环境中进行模拟攻击和防御,从而提高他们的应急响应能力和技术水平。 其次,Windows靶场可以用于培训和教育安全人员。安全团队可以利用靶场进行培训课程,教授安全响应的方法、工具和技术。通过实际操作和演练,可以使学员更好地理解和掌握应急响应的流程和技巧。 再次,Windows靶场可以用于测试和验证安全工具的有效性。安全团队可以在靶场中使用各种安全工具,如入侵检测系统(IDS)、入侵防御系统(IPS)等,以验证其对攻击的检测和防御能力。通过模拟真实场景中的攻击,可以评估和改进安全工具的性能。 总之,应急响应是保护信息系统安全的重要环节。利用Windows靶场进行应急演练和培训,可以提高安全人员的应急响应能力,加强信息系统的安全防护,从而更好地应对各种安全事件和威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值