场景
学习知攻善防安全实验室应急响应视频对其学习总结,无抄袭之意
服务器cpu占用飙升,服务器为windows系统
应急内容
获取攻击者shell密码
可以使用D盾对网站的根目录开始扫描,扫描可能存在的webshell程序
获取到key值,查询到为冰蝎默认连接密码
这里可以拓展:
若想要修改连接密码,只要用你想用的密码的md5的前16位代替代码中key的值,然后你就可以使用自己的密码登陆shell了
所以shell密码为rebeyond
攻击者ip地址
这里知道了冰蝎后门文件文件名为shell.php,可以通过Apache的日志文件,access.log,搜索shell.php相关日志
查到了攻击者ip地址为192.168.126.1
攻击者隐藏账号名称
接着查询可疑用户
通过windows日志分析工具进行分析dogadmin/windodws-logs-analysis: windows日志一键分析小工具 (github.com)
查询此机器发现3389远程桌面开启
查看远程桌面登录日志
发现一个hack168$隐藏用户
这种隐藏用户使用net user查询不到,但是在计算机管理中可以查到
攻击者挖矿程序矿池域名
前提场景中cpu飙升,猜测为挖矿行为
登录前面的恶意用户
net user hack168$ Qwe123@qq.com(更改密码)
登陆上该用户,发现桌面的可疑文件,运行后cpu飙升,判断为挖矿程序,进行分析
此图标为pyinstaller打包,使用pyinstxtractor进行反编译
extremecoders-re/pyinstxtractor: PyInstaller Extractor (github.com)
使用命令:
python pyinstxtractor.py 恶意文件.exe
执行后产生一个.pyc文件(部分会直接出源码)
然后使用pyc反编译工具得到源码pyc反编译 - 工具匠
得到矿池地址为http://wakuang.zhigongshanfang.top