应急响应实战---是谁修改了我的密码?

前言:此次应急响应为真实案例,客户反馈无法通过密码登录服务器,疑似服务器被入侵

0x01 如何找回密码?

客户服务器为windows server2019,运维平台为PVE平台;实际上无论是windows系统或者是linux系统,只要磁盘没有加密的情况,都可以通过挂载live盘的模式加载外部系统对密码进行修改;linux修改密码只需要替换掉/etc/shadow 即可覆盖密码;而windows系统则更简单,只需要使用类似大白菜之类的系统工具即可清空系统密码,当然了,没人敢上去就在客户那瞎搞,所以首先当然是把镜像导出来,而pve导出系统镜像为qcow2格式,这个格式是没办法直接在vmare上直接操练的,所以需要借助工具转化一下

qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk

导出后,即可在vmare产品创建一个windows的虚拟机空壳,然后将vmdk磁盘挂载即可,具体过程请大家自行百度,此处不赘述

下图为挂载后正常开机的效果
在这里插入图片描述

解锁后确实是无法进入系统的,但是随便点了几下shift后,笔者发现了个有趣的东西
在这里插入图片描述
一个疑似shift后门的东西出来了,还是魔改带密码的shift后门,这就不着急改密码了,笔者本来想直接利用FTK进行磁盘挂载,然后将注册表取出来看一下注册表,结果,邪门的事发生了,就是挂载的注册表里竟然没有sethc.exe的键值…

在这里插入图片描述
这会不想重置密码都不行了,因为找不到注册表的话就不知道他的密码写在什么位置了
此处借用老白菜的live镜像去挂载系统,这样启动的话直接就可以进老白菜系统,不需要去调bios
在这里插入图片描述
但是需要设置一下打开电源进入固件
在这里插入图片描述
系统重启后,会自动进入老白菜工具面板,使用密码管理工具,将administrator ,这个时候发现了一个mysql用户,经过与客户沟通,该用户确定并非客户创建
在这里插入图片描述

0x02 shift后门在哪里?​

置空administrator后,直接可以无密码进入系统了,这个时候再看一下注册表,发现注册表里又有sethc.exe键值了…
在这里插入图片描述
根据路径,发现了有意思的东西
在这里插入图片描述
在这里插入图片描述

从这个注册表劫持文件,可以看出来,该工具加载mysql.bat的文件,用户名当然不是文件里的admin,而是文件名字“mysql”,但是密码是里面的password字段​
在这里插入图片描述
尝试使用一下他的后门
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
权限还是system权限,太厉害了集霸们
在这里插入图片描述

0x03 mysql用户里有什么?

利用得到的密码登录mysql用户
在这里插入图片描述
好好好,好活当赏,这是要挖矿啊​

0x04 集霸是通过什么漏洞入侵服务器的

返回到administrator用户,开始翻日志,但是在翻日志之前,看了一眼开放的端口、正在运行的服务和系统资源的占用,发现系统开放了445/3389端口,没有奇怪的外连进程,没有挖矿进程,资源也没有出现波动
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

啥也没有,但是看端口猜测是暴力破解,server2019也没听说有溢出漏洞(最新的那个RDP溢出暂时不考虑在内,因为这个应急是在演练之前的,嘻嘻嘻)
通过查看系统安全日志,发现在计算机出现异常当天的登录失败日志(id为4625)高达两万五千次
在这里插入图片描述

继续筛查4624登录成功日志,发现时间节点 7:27:23 PM ,administrator用户从网络登录到本机(疑似使用SMB网络共享),猜测爆破密码成功
在这里插入图片描述

0x05 集霸是什么时候创建的mysql用户?​

筛选4720 日志,该日志为创建用户日志
时间 7:28:42 PM ,攻击者使用Administrator创建用户mysql 用户
在这里插入图片描述

通过筛选计算机系统安全日志4724/4738发现,在7:28:42 PM 时间节点,攻击者使用administrator用户修改了mysql用户的密码
在这里插入图片描述

在这里插入图片描述

而后在 7:37:30 PM 发现mysql用户使用远程桌面方式登录桌面(rdp)
在这里插入图片描述

筛选4738系统安全日志,发现 7:43:45 PM时间节点,确认administrator密码被篡改,因此发生无法登录的情况
在这里插入图片描述

0x06 集霸是什么时候将挖矿工具部署在服务器里的?

查看system日志,7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\administrator\Desktop\xmrig-6.21.3下
在这里插入图片描述

查看system日志,7:41:24 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\mysql\Desktop\xmrig-6.21.3下
在这里插入图片描述

接下来查看application应用日志,发现在5/26/2024 7.36.01 PM运行了xmrig程序,同时该程序由于报错而并未成功运行(windows error reporting),报错表明发生了内存泄漏或资源耗尽预警(type 5,RADAR_PRE_LEAK_64
在这里插入图片描述
但是只看到了对应在administrator桌面运行挖矿软件的时间,没有看到mysql对应的运行日志,似乎部署之后就没再管了,当然了,administrator的挖矿软件也已经被删除掉了

事已至此,基本也就确定了,攻击者通过暴力破解登录系统,创建mysql用户,部署shift后门并修改注册表劫持粘连键(并非常规的替换setch.exe设置后门
在这里插入图片描述
最后部署挖矿软件,在挖矿软件启动失败后,直接把administrator密码给替换掉了

后续就是帮客户把密码改了,因为拿到了mysql用户的密码,所以直接用粘连键后门就把密码重置了,而后大家懂的都懂

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/53863.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

个人学习笔记7-5:动手学深度学习pytorch版-李沐

#人工智能# #深度学习# #语义分割# #计算机视觉# #神经网络# 计算机视觉 13.10 转置卷积 例如,卷积层和汇聚层,通常会减少下采样输入图像的空间维度(高和宽)。然而如果输入和输出图像的空间维度相同,在以像素级分类…

【物联网技术大作业】设计一个智能家居的应用场景

前言: 本人的物联网技术的期末大作业,希望对你有帮助。 目录 大作业设计题 (1)智能家居的概述。 (2)介绍智能家居应用。要求至少5个方面的应用,包括每个应用所采用的设备,性能&am…

2023级JavaScript与jQuery

第三课:JavaScript对象编程 一.预习笔记 1.Date对象 对象创建:var myDatenew Date() 输出显示当前日期的标准时间 对象创建:var myDatenew Date(“2024/09/14”) 对象创建:var myDatenew Date(2024,9,14) 当前对象创建时&…

TiDB从0到1学习笔记(精华篇)

历时四个月,恭喜赵老师的《TiDB从0到1》 系列文章顺利完结,小编再次梳理一遍文稿,并附注解分享给大家。 整体架构 从 TiDB 1.0 到 8.0,TiDB 的体系结构一直在不断演进。接下来让我们一起看看整体架构的变化。 TiDB v1 TiDB v1&…

Windows 环境下 vscode 配置 C/C++ 环境

vscode Visual Studio Code(简称 VSCode)是一个由微软开发的免费、开源的代码编辑器。它支持多种编程语言,并提供了代码高亮、智能代码补全、代码重构、调试等功能,非常适合开发者使用。VSCode 通过安装扩展(Extension…

node.js实现阿里云短信发送

效果图 实现 一、准备工作 1、官网直达网址: 阿里云 - 短信服务 2、按照首页提示依次完成相应资质认证和短信模板审核; 3、获取你的accessKeySecret和accessKeyId; 方法如下: 获取AccessKey-阿里云帮助中心 4、获取SignNa…

【LabVIEW学习篇 - 24】:生产者/消费者设计模式

文章目录 生产者/消费者设计模式案例:控制LED等亮灭 生产者/消费者设计模式 生产者/消费者是多线程编程中最基本的一种模式,使用非常普遍。从软件角度看,生产者就是数据的提供方,而消费者就是数据的消费处理方,二者之…

微信小程序开发——比较两个数字大小

在这里我们使用的工具是 需要自行安装和配置。 在微信小程序中比较两个数字大小有以下几种方式: 一、普通条件判断 在小程序的.js 文件中,先定义两个数字,如let num1 5; let num2 3;。通过if - else if - else语句,根据num1与…

文件管理系统DCC与泛微OA系统集成案例

一、项目背景 上海某半导体有限公司主要产品应用于图像传感器、 图像信号处理芯片、 低功耗芯片、 射频芯片等。 公司内部有DCC文件管理系统和OA系统,由SAP PO平台进行中间管理,DCC系统对接泛微OA系统推送文件等操作,提高公司内部各自系统…

智能智造和工业软件研发平台SCSAI功能介绍

用爱编程30年,倾心打造工业和智能智造软件研发平台SCIOT,用创新的方案、大幅的让利和极致的营销,致力于为10000家的中小企业实现数字化转型,打造数字化企业和智能工厂,点击上边蓝色字体,关注“AI智造AI编程”或文末扫码…

lightdm , xrandr , startx 桌面管理器,窗口管理器

问题: 了解这几个的含义。 显示服务器 这个不是很明白 显示管理器, 知道就行了,也不是很明白。 窗口管理器。 桌面管理器。 这个其实就是 桌面环境了, 我们的板卡上使用的是xface 。 这个 xface 是一个集合,这里面…

亚马逊IP关联及其解决方案

在电子商务领域,亚马逊作为全球领先的在线购物平台,吸引了众多商家和个人的参与。然而,随着业务规模的扩大,商家在使用亚马逊服务时可能会遇到IP关联的问题,这不仅影响账户的正常运营,还可能带来一系列不利…

基于SpringBoot+Vue的个性化视频推荐系统

作者:计算机学姐 开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。 专栏推荐:前后端分离项目源码、SpringBoot项目源码、SSM项目源码 系统展示 【2025最新】基于JavaSpringBootVueMySQL的…

ComfyUI安装节点过程中被降低了版本的软件包重新安装

最近在安装2个没怎么及时更新节点时,安装节点依赖性过程中,将原高版本的软件包,给降到了低版本,解决的办法就是:1、再次删除软件包,2、指定版本号重新安装回高版本软件包。

Centos7.9部署Gitlab-ce-16.9

一、环境信息 软件/系统名称版本下载地址备注Centos77.9.2009https://mirrors.nju.edu.cn/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-DVD-2009.isogitlab-cegitlab-ce-16.9.1https://mirror.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-16.9.1-ce.0.el7.x86_64.rpm…

使用Azure Devops Pipeline将Docker应用部署到你的Raspberry Pi上

文章目录 1. 添加树莓派到 Agent Pool1.1 添加pool1.2 添加agent 2. 将树莓派添加到 Deployment Pool2.1 添加pool2.2 添加target 3. 添加编译流水线3.1 添加编译命令3.2 配置触发器 4. 添加发布流水线4.1 添加命令行4.2 配置artifact和触发器 5. 完成 1. 添加树莓派到 Agent P…

从基础到进阶:利用EasyCVR安防视频汇聚平台实现高效视频监控系统的五步走

随着科技的飞速发展,视频监控技术在社会安全、企业管理、智慧城市构建等领域扮演着越来越重要的角色。一个高效智能的视频监控管理系统不仅能够提升监控效率,还能在预防犯罪、事故预警、数据分析等方面发挥巨大作用。 一、需求分析 在设计视频监控管理…

如何自学SQL(从入门到精通)?

SQL语言对于各个数据库是通用的,学习SQL数据库语言是一个系统的过程,可以分为几个阶段:入门、进阶、实践和精通。 下面是一些建议,可以帮助你从入门到精通自学SQL: 1. 学习方法 a. 理解基本概念 数据库理论&#xf…

rk3568 parameter.txt 添加自己的分区,或者去掉已有的分区

问题: 客户在 之前的核心板上 可以烧写自己的镜像,但是在最新的核心板上却烧写不上,新旧核心板 只是变了emmc , 由 江波龙 ------->星火。 分析: 客户的镜像的分区是经过自己的定制的,所以有可能 是 由…

iPhone 16预售已开,沙漠金色最抢手,喜提新机后别忘了这件事!

9月13日20点,iPhone 16系列正式开启官方预购。今年全新的iphone16不仅新增相机按钮和AI功能,还增加了沙漠金配色。“加量不加价”的iPhone 16系列开售依旧火爆,iPhone 16系列开售1分钟内,苹果官方网站一度被消费者买到崩&#xff…