应急响应实战---是谁修改了我的密码?

前言:此次应急响应为真实案例,客户反馈无法通过密码登录服务器,疑似服务器被入侵

0x01 如何找回密码?

客户服务器为windows server2019,运维平台为PVE平台;实际上无论是windows系统或者是linux系统,只要磁盘没有加密的情况,都可以通过挂载live盘的模式加载外部系统对密码进行修改;linux修改密码只需要替换掉/etc/shadow 即可覆盖密码;而windows系统则更简单,只需要使用类似大白菜之类的系统工具即可清空系统密码,当然了,没人敢上去就在客户那瞎搞,所以首先当然是把镜像导出来,而pve导出系统镜像为qcow2格式,这个格式是没办法直接在vmare上直接操练的,所以需要借助工具转化一下

qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk

导出后,即可在vmare产品创建一个windows的虚拟机空壳,然后将vmdk磁盘挂载即可,具体过程请大家自行百度,此处不赘述

下图为挂载后正常开机的效果
在这里插入图片描述

解锁后确实是无法进入系统的,但是随便点了几下shift后,笔者发现了个有趣的东西
在这里插入图片描述
一个疑似shift后门的东西出来了,还是魔改带密码的shift后门,这就不着急改密码了,笔者本来想直接利用FTK进行磁盘挂载,然后将注册表取出来看一下注册表,结果,邪门的事发生了,就是挂载的注册表里竟然没有sethc.exe的键值…

在这里插入图片描述
这会不想重置密码都不行了,因为找不到注册表的话就不知道他的密码写在什么位置了
此处借用老白菜的live镜像去挂载系统,这样启动的话直接就可以进老白菜系统,不需要去调bios
在这里插入图片描述
但是需要设置一下打开电源进入固件
在这里插入图片描述
系统重启后,会自动进入老白菜工具面板,使用密码管理工具,将administrator ,这个时候发现了一个mysql用户,经过与客户沟通,该用户确定并非客户创建
在这里插入图片描述

0x02 shift后门在哪里?​

置空administrator后,直接可以无密码进入系统了,这个时候再看一下注册表,发现注册表里又有sethc.exe键值了…
在这里插入图片描述
根据路径,发现了有意思的东西
在这里插入图片描述
在这里插入图片描述

从这个注册表劫持文件,可以看出来,该工具加载mysql.bat的文件,用户名当然不是文件里的admin,而是文件名字“mysql”,但是密码是里面的password字段​
在这里插入图片描述
尝试使用一下他的后门
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
权限还是system权限,太厉害了集霸们
在这里插入图片描述

0x03 mysql用户里有什么?

利用得到的密码登录mysql用户
在这里插入图片描述
好好好,好活当赏,这是要挖矿啊​

0x04 集霸是通过什么漏洞入侵服务器的

返回到administrator用户,开始翻日志,但是在翻日志之前,看了一眼开放的端口、正在运行的服务和系统资源的占用,发现系统开放了445/3389端口,没有奇怪的外连进程,没有挖矿进程,资源也没有出现波动
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

啥也没有,但是看端口猜测是暴力破解,server2019也没听说有溢出漏洞(最新的那个RDP溢出暂时不考虑在内,因为这个应急是在演练之前的,嘻嘻嘻)
通过查看系统安全日志,发现在计算机出现异常当天的登录失败日志(id为4625)高达两万五千次
在这里插入图片描述

继续筛查4624登录成功日志,发现时间节点 7:27:23 PM ,administrator用户从网络登录到本机(疑似使用SMB网络共享),猜测爆破密码成功
在这里插入图片描述

0x05 集霸是什么时候创建的mysql用户?​

筛选4720 日志,该日志为创建用户日志
时间 7:28:42 PM ,攻击者使用Administrator创建用户mysql 用户
在这里插入图片描述

通过筛选计算机系统安全日志4724/4738发现,在7:28:42 PM 时间节点,攻击者使用administrator用户修改了mysql用户的密码
在这里插入图片描述

在这里插入图片描述

而后在 7:37:30 PM 发现mysql用户使用远程桌面方式登录桌面(rdp)
在这里插入图片描述

筛选4738系统安全日志,发现 7:43:45 PM时间节点,确认administrator密码被篡改,因此发生无法登录的情况
在这里插入图片描述

0x06 集霸是什么时候将挖矿工具部署在服务器里的?

查看system日志,7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\administrator\Desktop\xmrig-6.21.3下
在这里插入图片描述

查看system日志,7:41:24 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\mysql\Desktop\xmrig-6.21.3下
在这里插入图片描述

接下来查看application应用日志,发现在5/26/2024 7.36.01 PM运行了xmrig程序,同时该程序由于报错而并未成功运行(windows error reporting),报错表明发生了内存泄漏或资源耗尽预警(type 5,RADAR_PRE_LEAK_64
在这里插入图片描述
但是只看到了对应在administrator桌面运行挖矿软件的时间,没有看到mysql对应的运行日志,似乎部署之后就没再管了,当然了,administrator的挖矿软件也已经被删除掉了

事已至此,基本也就确定了,攻击者通过暴力破解登录系统,创建mysql用户,部署shift后门并修改注册表劫持粘连键(并非常规的替换setch.exe设置后门
在这里插入图片描述
最后部署挖矿软件,在挖矿软件启动失败后,直接把administrator密码给替换掉了

后续就是帮客户把密码改了,因为拿到了mysql用户的密码,所以直接用粘连键后门就把密码重置了,而后大家懂的都懂

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/53863.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ROS2 Control controller_interface说明

ROS2 Control controller_interface说明 文章目录 前言controller_interface说明Class ControllerInterfaceBaseClass ControllerInterface说明Class ChainableControllerInterface说明 semantic_components说明Class ForceTorqueSensorClass IMUSensorClass RangeSensor 参考 …

Jacoco的XML报告详解

使用jacococli完成jacoco测试报告生成后,会看到有一个.xml结尾的文件,这个就是xml格式的覆盖率报告。除了xml还有csv、html格式的报告,本文进介绍xml报告。 DTD文件 在介绍jacoco的xml报告之前,我们应该先看一下对应的DTD文件的内容。(DTD的全称为Document Type Definitio…

Java应用的数据库连接池连接池性能测试

Java应用的数据库连接池连接池性能测试 大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿! 数据库连接池的性能测试是确保Java应用能够高效运行的关键步骤。性能测试可以帮助我们评估连接池在高并发…

Rust 所有权 借用与引用

文章目录 发现宝藏1. 所有权(Ownership)2. 引用(References)2.1 不可变引用2.2 可变引用2.3 引用的规则 3. 悬垂引用(Dangling References)4. 借用(Borrowing)结论 发现宝藏 前些天…

个人学习笔记7-5:动手学深度学习pytorch版-李沐

#人工智能# #深度学习# #语义分割# #计算机视觉# #神经网络# 计算机视觉 13.10 转置卷积 例如,卷积层和汇聚层,通常会减少下采样输入图像的空间维度(高和宽)。然而如果输入和输出图像的空间维度相同,在以像素级分类…

【App】React Native

React Native 的优势: 开发体验好 用统一的代码规范开发移动端程序,不用关注移动端的差异.开发成本低 开发一次,可以生成 Android 和 IOS 俩个系统上的 App学习成本低 只要掌握 JavaScript 和 React 就可以进行移动端开发 React Native 的不…

【物联网技术大作业】设计一个智能家居的应用场景

前言: 本人的物联网技术的期末大作业,希望对你有帮助。 目录 大作业设计题 (1)智能家居的概述。 (2)介绍智能家居应用。要求至少5个方面的应用,包括每个应用所采用的设备,性能&am…

2023级JavaScript与jQuery

第三课:JavaScript对象编程 一.预习笔记 1.Date对象 对象创建:var myDatenew Date() 输出显示当前日期的标准时间 对象创建:var myDatenew Date(“2024/09/14”) 对象创建:var myDatenew Date(2024,9,14) 当前对象创建时&…

TiDB从0到1学习笔记(精华篇)

历时四个月,恭喜赵老师的《TiDB从0到1》 系列文章顺利完结,小编再次梳理一遍文稿,并附注解分享给大家。 整体架构 从 TiDB 1.0 到 8.0,TiDB 的体系结构一直在不断演进。接下来让我们一起看看整体架构的变化。 TiDB v1 TiDB v1&…

Windows 环境下 vscode 配置 C/C++ 环境

vscode Visual Studio Code(简称 VSCode)是一个由微软开发的免费、开源的代码编辑器。它支持多种编程语言,并提供了代码高亮、智能代码补全、代码重构、调试等功能,非常适合开发者使用。VSCode 通过安装扩展(Extension…

node.js实现阿里云短信发送

效果图 实现 一、准备工作 1、官网直达网址: 阿里云 - 短信服务 2、按照首页提示依次完成相应资质认证和短信模板审核; 3、获取你的accessKeySecret和accessKeyId; 方法如下: 获取AccessKey-阿里云帮助中心 4、获取SignNa…

变量取值范围

通常意义上,任何一种类型都有自己的取值范围,但跟着变量类型本身的范围太大,有时,不希望取值有这么大,就可以定义枚举,但枚举也不是万能,能准确规定范围是更安全的选择。 Ada编程语言是一门为安…

【LabVIEW学习篇 - 24】:生产者/消费者设计模式

文章目录 生产者/消费者设计模式案例:控制LED等亮灭 生产者/消费者设计模式 生产者/消费者是多线程编程中最基本的一种模式,使用非常普遍。从软件角度看,生产者就是数据的提供方,而消费者就是数据的消费处理方,二者之…

微信小程序开发——比较两个数字大小

在这里我们使用的工具是 需要自行安装和配置。 在微信小程序中比较两个数字大小有以下几种方式: 一、普通条件判断 在小程序的.js 文件中,先定义两个数字,如let num1 5; let num2 3;。通过if - else if - else语句,根据num1与…

elementui 单元格添加样式的两种方法

方法一 <el-table-column fixed prop"name" label"姓名" width"120"> <<template scope"scope"> <span :class"{red:scope.row.color1,yell:scope.row.color2,green:scope.row.col…

文件管理系统DCC与泛微OA系统集成案例

一、项目背景 上海某半导体有限公司主要产品应用于图像传感器、 图像信号处理芯片、 低功耗芯片、 射频芯片等。 公司内部有DCC文件管理系统和OA系统&#xff0c;由SAP PO平台进行中间管理&#xff0c;DCC系统对接泛微OA系统推送文件等操作&#xff0c;提高公司内部各自系统…

智能智造和工业软件研发平台SCSAI功能介绍

用爱编程30年&#xff0c;倾心打造工业和智能智造软件研发平台SCIOT,用创新的方案、大幅的让利和极致的营销&#xff0c;致力于为10000家的中小企业实现数字化转型&#xff0c;打造数字化企业和智能工厂&#xff0c;点击上边蓝色字体&#xff0c;关注“AI智造AI编程”或文末扫码…

vue缓存用法

Store 临时缓存 特点&#xff1a;需要定义&#xff0c;有初始值、响应式、全局使用、刷新重置 Pinia官方文档 https://pinia.vuejs.org 创建 store 缓存 示例代码 import {defineStore} from pinia import {store} from //storeexport const useMyStore defineStore({// 定义…

lightdm , xrandr , startx 桌面管理器,窗口管理器

问题&#xff1a; 了解这几个的含义。 显示服务器 这个不是很明白 显示管理器&#xff0c; 知道就行了&#xff0c;也不是很明白。 窗口管理器。 桌面管理器。 这个其实就是 桌面环境了&#xff0c; 我们的板卡上使用的是xface 。 这个 xface 是一个集合&#xff0c;这里面…

MATLAB中的异常处理机制:掌握错误和警告的管理

在MATLAB编程中&#xff0c;异常处理是一个关键组成部分&#xff0c;它允许程序员管理和响应在程序执行过程中可能发生的错误和警告。MATLAB提供了一套完整的机制来捕获、处理和引发异常&#xff0c;这些机制基于try/catch语句&#xff0c;以及error和warning函数。 1. 异常处…