吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

领取今日签到奖励
查看: 4264|回复: 66

[分享] 某家医药公司门罗币处理流程

  [复制链接]
发表于 2019-3-8 03:11
                                                                                                                                      某家医药公司处理门罗币
   大家好我是一个it从业者,在成都是一名运维,热爱计算机安全技术,06年入行,从DOS系统玩到现在Windows10系统,07年熊猫烧香肆掠,处理了很多病毒,比如当年的机器狗,AV终结者,磁碟机,各种盗号木马,鬼影,魔波到现在各种挖矿以及勒索病毒使用过全球各大杀毒软件,NOD32,Kapersky,诺顿,蜘蛛,国内的瑞星,微点,江民,金山以及现在的火绒,以及一些进程分析进程工具,ExplorerProcess,Pchunter,火绒剑,早期的冰刃等分析工具,对windows系统和linux系统都有学习,网络技术,我是从2009年看来黑客X档案杂志,就喜欢上了安全技术,也学过C,VB等编程语言,本人不才,不是很精通也不熟悉,但是爱学习,第一次在吾爱破解论坛发表日志,如果写得不好,请各位大神和兄弟朋友们指正和批评,共同提高。      废话少说,切入正题,这件安全事件发生在去年7月份左右,成都某家医药公司Windows2008R2服务器系统加医药软件ERP和SQLServer2008数据库被注入,出现了问题,当时sql已经无法正常sa登录了,路由器大量流量攻击,于是深入了进行排查,门罗币挖矿  具体现象是那天突然他们说SQL很卡,觉得不对于是远程服务器sql登录不上,反复登录几次才行,于是发现sql作业不对这么多作业,如图:
   



根据上面的两张图肯定显示不正常,第一作业这么多sql注入代码,上面kougou2010,而且sa密码登录失败,密码肯定是对的,身份验证也不行,那么多肯定别注入了,到底这些代码到底什么意思,具体不解,但是作业也熊随便删除害怕影响正常作业,当时心情很着急,害怕搞不定,因为整个公司几乎陷入瘫痪,总部和门店无法开展业务,然后和领导安排,通知大家停业2个小时,备份数据库,重装系统系统,于是装上火绒杀软,火绒一直提示远程攻击,被拒绝,当时服务器很卡,肯定明显中毒了,SQL别注入了,到底谁注入的,黑客,还是病毒呢,于是重启服务器进入pe,备份数据库,难道重装系统,但是装了系统,又要安装驱动和数据库和恢复数据库可能会浪费更多时间,恢复数据库的时候肯定会把有问题的作业一起恢复过来,这样就造成重复被感染,与果然禁用网卡和拔掉服务器的网线,以免内网传播感染其他客户机,于是深入了排查。
   首先已经告诉公司所有同事停下业务,那么kuogu2010等其他作业这么多,这些文件在哪里来的,解决什么问题肯定要有逻辑和思路,那么肯定系统盘可能会有kukou2010等文件,于是打开没有,费解半天,于是打开隐藏文件果然有,
删除能搞定吗,但是无法删除提示无法权限,右键属性打开nfts安全设置,没发现异常,于是禁用sql非法作业,禁用后,打开kukou2010发现了有批处理,如图所示
                     
看到上面的图片稍微熟悉dos命令和批处理就知道大概逻辑和意思了,名都作者很聪明,首先注册非法文件和动态链接库文件并开始远程开始注册和域名地址和域名,肯定是病毒作者的域名地址,然后通过attrib命令隐藏文件属性和cacls设置盘符权限,强制结束进程删除文件,删除其他批处理文件和system32所有日志,病毒作者太狡猾了,那么我们干掉这个文件不是就可以了吗?但是无法提示不行,于是火绒剑出窍谁与争锋,查找服务进程和服务看是否有结果,如图
     
看到没,就是这个位置文件,并且远程传输和时间,于是怎么干掉删除,那么肯定加入了windows的任务计划,如图:
   



上面两张图一个是服务和任务计划,首先利用火绒任务计划功能删除,然后手动禁用msinfo服务,后面手动干掉kugou2010文件夹,删除,然后不能让它再次生成,你可以用权限,我也可以,windows权限也至高无上的,如图所示:
         

那么服务和计划都被干掉了和文件都干掉被设置了权限阻止生成,那么windows下首先要考虑注册表启动项如图:
     
如上图所示,火绒提示未发现可疑的了,手动打开注册表启动项只有火绒和输入法启动项,完美了吗,肯定没有,

















这几张图分别是火绒主动防御的提示被攻击已被阻止,然后再看看这个批处理,也是注册并隐藏设置权限属性,删除其他批出文件并且删除注册表启动项,taskkill命令结束进程清空日志,病毒作者很聪明,再看看路由器wan1流量,草1万多个外网连接,肯定不正常,肯定有很多非法外网连接ip,





以上两张图片我用了路由追踪命令tracert百度1000ms的延迟,这种延迟根本无法打开网页,还不要说办公,批处理的图片,病毒作者get就是获得了mssql数据库端口1433甚至一些弱口令和密码数据等重要信息,还bye草。并且上传到自己的域名网站,后去挖矿数据。
  那么防御,路由器全部固定ip绑定和MAC地址,








经过一些安全设置和一些病毒的处理,外网连接正常了,




处理后,在打开百度搜索看,看看杀毒软件的人专业分析,果然的确这样,这样更明确了,然后继续找出外网ip,利用360杀毒,如图:
   

这两张图一个是我和舵手客服的对话,以及360杀毒提示SQL注入的外网ip,百度查这个ip是江苏的,那么路由器安全策略封了以及防火防火墙。那么完事了吗,然后升级所有漏洞补丁封杀135,445等危险端口,这个病毒是利用永恒之蓝漏洞疯狂传播
   






然后查看路由器正常了,火绒剑查看ip也是成都的,这个ip是某个门店的ip正常。
   






最后打开火绒漏洞已经没有了,修复完毕,木马查杀没有了,日志也没有提示攻击了,下面我们来看看我和舵手的经典对话,这里发出图片不是针对他,
      






当时我很大感觉可能别攻击了,这次攻击的是服务器,经过2小时终于搞定,漏洞也全部修复完了,虽然我不精通熟悉sql,但是我们要深入排查,能学到很多知识,兄弟我不是针对你,你也帮了很多忙,还有欧阳老师以及其他朋友的帮助,最主要我找出攻击源,下面是逻辑图
      
写在最后,网络永远没安全的时候,网络管理员不管水平,要有责任,要大胆解决,不管能力是否足够,都可以去深入挖掘,不懂可以百度,问问其他同行,我就是这样的人,对了,还有防护措施,更改sql端口,设置负责密码,以及sql权限进行控制才能完美。最后如果这篇文章写的不好,请各位朋友给予批评和指正。好累

免费评分

参与人数 34吾爱币 +34 热心值 +33 收起 理由
lwjlove1234 + 1 + 1 学习了 谢谢UP主分享
lkf2432 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wdxm2008 + 1 + 1 我很赞同!
sunnylds7 + 1 + 1 热心回复!
845xyz + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
btz874 + 1 我很赞同!
heavy_fire + 1 + 1 不明觉厉,但是LZ的文笔真的要加强一下,看得真累
等老子火了 + 2 + 1 用心讨论,共获提升!
ylll + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
南故苼烟 + 1 + 1 用心讨论,共获提升!
Swazy + 1 + 1 来自大四狗的膜拜
SxAni丶 + 2 + 1 我很赞同!
a445972873 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
msoayu56 + 2 + 1 用心讨论,共获提升!
demo886 + 1 用心讨论,共获提升!
战歌酒吧 + 1 + 1 谢谢@Thanks!
北鼻北鼻玩莫泰 + 1 + 1 老哥你真强
hongge + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
灵影 + 1 + 1 谢谢@Thanks!
牧鱼龙 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhjzcbm + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
447094783 + 1 + 1 用心讨论,共获提升!
itjyh + 1 + 1 我很赞同!
dongtian123sss + 1 + 1 热心回复!
littlebit + 1 用心讨论,共获提升!
老白啊 + 1 + 1 用心讨论,共获提升!
superlaomao + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
我很倔强 + 1 + 1 谢谢@Thanks!
老号530530 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
oxxo119 + 1 + 1 谢谢@Thanks!硬件设备的采购也很重要 软件配置更加是
小小学生 + 1 + 1 分给你了
Neppah + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
至风 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
MYLQG2ZHX + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2019-3-11 15:46
本人擅长Ai、Fw、Fl、Br、Ae、Pr、Id、PS等软件的安装与卸载
精通CSS、JavaScript、PHP、C、C++、java、Ruby、Perl、Lisp、python、Objective-C、ActionScript等单词的拼写
熟悉windows、Linux、Mac、Android、IOS等系统的开关机
发表于 2019-3-9 19:08
几句话的事情能写这么长也是佩服,断网,离线杀毒,溯源入侵点,修复问题,就这么简单,搞这么复杂突出你牛逼吗?
发表于 2019-3-8 16:20
虽然看不懂  但是感觉老哥你挺牛逼的。这种精神可以有。
发表于 2019-3-8 16:45
这都有??真厉害
发表于 2019-3-8 16:49
真正的安全不是别人给的,而是自己创造的,兄弟干得漂亮,学习了
发表于 2019-3-8 17:04
干货,可以学习到了
发表于 2019-3-8 17:14
1433sa自动解封提权
发表于 2019-3-8 17:17
虽然精神可嘉,尤其是结论正确(谨指通篇最后一句话),不过说实在...别的不好说,就这环境(根本就是无掩鸡笼),实在维护得不怎么样。
发表于 2019-3-8 17:46
感谢楼主的热心分享!!!!!!!!
发表于 2019-3-8 18:42
支持一下 很棒
发表于 2019-3-8 18:45
漂亮,也太费劲了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-3-23 03:06

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表