来源:FreeBuf,作者feiniao
前言本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现。
此次分析,发现用户的服务器被多波不同利益的黑客入侵,里面有一些比较有意思的内容,所以特意分析总结了一下。
一、概述1、分析结果经过分析,目前得到以下结论:
1)服务器上存在博彩信息与挖矿程序,说明被多波不同利益团队的黑客入侵;
2)此服务器于年9月21日被黑客入侵后加上相应的博彩内容,相应的IP为.41.27.93;
3)此服务器在年2月份甚至更早就已经被黑客植入网马了;
4)服务器在年12月19日被植入挖矿程序;
5)系统被增加了隐藏账号test,并且在年9月21日14:38发现账号guest有IP为.66.52.88,地理位置为乌克兰登录的情况。
二、分析过程2.1入侵现象年9月份,通过我司监测平台监测到某网站被植入博彩内容,具体如下:
网站被植入博彩信息
网站被植入博彩基本上说明网站被黑客入侵,我司“捕影”应急响应小组立即协助用户进行入侵分析。
2.2系统分析系统分析主要用于分析其系统账号、进程、开放端口、连接、启动项、文件完整性、关键配置文件等,通过系统相关项的分析判断其系统层面是否正常。对其系统层面分析,发现以下层面存在问题:
系统账号
对系统账号的分析,目前发现系统存在以下账号:
Administraotr、MYSQL_ZKEYS、test、zhimei、renjian、APP_IWAM_、APP_IWAM_、guest
其中test明显为隐藏账号,一般情况下系统管理员不会增加隐藏账号,该账号肯定为黑客增加。另外几个账号,如zhimei、renjian等为可疑账号,需要管理人员进行确认。
系统账号情况
管理员信息
管理员组中存在administrator和guest,一般情况下guest为来宾账号,不会增加到管理员组中,怀疑该账号为黑客增加到管理员组中。
系统账号存在两个问题:
1)服务器被增加test隐藏账号
2)Guest账号被加入到管理员组中
日志分析
通过相关安全产品的日志,可以看到guest账号于年9月21日14:38被IP为.66.52.88的乌克兰IP登录,该账号密码肯定已泄露,建议禁用该账号。
进程与服务分析
对其服务器分析,发现其服务器的CPU利用率非常高,利用率为%。发现主要被SQLServer.exe占用。
CPU利用率为%
SQLServer.exe占用CPU最高
找到该程序所在的目录,发现该程序放在C:\ProgramData\MySQL目录下,并且被目录被隐藏。里面有四个文件,两个bat文件,两个exe文件。
对startservice.bat进行分析,其内容如下:
其功能如下:
1)setSERVICE_NAME=SystemHost,指定其服务名为SystemHost:
2)Tomcat9install"%SERVICE_NAME%"SQLServer.exe-ostratum+tcp://pool.minexmr.