应急响应实战---是谁修改了我的密码?

news2024/11/23 3:09:49

前言:此次应急响应为真实案例,客户反馈无法通过密码登录服务器,疑似服务器被入侵

0x01 如何找回密码?

客户服务器为windows server2019,运维平台为PVE平台;实际上无论是windows系统或者是linux系统,只要磁盘没有加密的情况,都可以通过挂载live盘的模式加载外部系统对密码进行修改;linux修改密码只需要替换掉/etc/shadow 即可覆盖密码;而windows系统则更简单,只需要使用类似大白菜之类的系统工具即可清空系统密码,当然了,没人敢上去就在客户那瞎搞,所以首先当然是把镜像导出来,而pve导出系统镜像为qcow2格式,这个格式是没办法直接在vmare上直接操练的,所以需要借助工具转化一下

qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk

导出后,即可在vmare产品创建一个windows的虚拟机空壳,然后将vmdk磁盘挂载即可,具体过程请大家自行百度,此处不赘述

下图为挂载后正常开机的效果
在这里插入图片描述

解锁后确实是无法进入系统的,但是随便点了几下shift后,笔者发现了个有趣的东西
在这里插入图片描述
一个疑似shift后门的东西出来了,还是魔改带密码的shift后门,这就不着急改密码了,笔者本来想直接利用FTK进行磁盘挂载,然后将注册表取出来看一下注册表,结果,邪门的事发生了,就是挂载的注册表里竟然没有sethc.exe的键值…

在这里插入图片描述
这会不想重置密码都不行了,因为找不到注册表的话就不知道他的密码写在什么位置了
此处借用老白菜的live镜像去挂载系统,这样启动的话直接就可以进老白菜系统,不需要去调bios
在这里插入图片描述
但是需要设置一下打开电源进入固件
在这里插入图片描述
系统重启后,会自动进入老白菜工具面板,使用密码管理工具,将administrator ,这个时候发现了一个mysql用户,经过与客户沟通,该用户确定并非客户创建
在这里插入图片描述

0x02 shift后门在哪里?​

置空administrator后,直接可以无密码进入系统了,这个时候再看一下注册表,发现注册表里又有sethc.exe键值了…
在这里插入图片描述
根据路径,发现了有意思的东西
在这里插入图片描述
在这里插入图片描述

从这个注册表劫持文件,可以看出来,该工具加载mysql.bat的文件,用户名当然不是文件里的admin,而是文件名字“mysql”,但是密码是里面的password字段​
在这里插入图片描述
尝试使用一下他的后门
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
权限还是system权限,太厉害了集霸们
在这里插入图片描述

0x03 mysql用户里有什么?

利用得到的密码登录mysql用户
在这里插入图片描述
好好好,好活当赏,这是要挖矿啊​

0x04 集霸是通过什么漏洞入侵服务器的

返回到administrator用户,开始翻日志,但是在翻日志之前,看了一眼开放的端口、正在运行的服务和系统资源的占用,发现系统开放了445/3389端口,没有奇怪的外连进程,没有挖矿进程,资源也没有出现波动
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

啥也没有,但是看端口猜测是暴力破解,server2019也没听说有溢出漏洞(最新的那个RDP溢出暂时不考虑在内,因为这个应急是在演练之前的,嘻嘻嘻)
通过查看系统安全日志,发现在计算机出现异常当天的登录失败日志(id为4625)高达两万五千次
在这里插入图片描述

继续筛查4624登录成功日志,发现时间节点 7:27:23 PM ,administrator用户从网络登录到本机(疑似使用SMB网络共享),猜测爆破密码成功
在这里插入图片描述

0x05 集霸是什么时候创建的mysql用户?​

筛选4720 日志,该日志为创建用户日志
时间 7:28:42 PM ,攻击者使用Administrator创建用户mysql 用户
在这里插入图片描述

通过筛选计算机系统安全日志4724/4738发现,在7:28:42 PM 时间节点,攻击者使用administrator用户修改了mysql用户的密码
在这里插入图片描述

在这里插入图片描述

而后在 7:37:30 PM 发现mysql用户使用远程桌面方式登录桌面(rdp)
在这里插入图片描述

筛选4738系统安全日志,发现 7:43:45 PM时间节点,确认administrator密码被篡改,因此发生无法登录的情况
在这里插入图片描述

0x06 集霸是什么时候将挖矿工具部署在服务器里的?

查看system日志,7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\administrator\Desktop\xmrig-6.21.3下
在这里插入图片描述

查看system日志,7:41:24 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\mysql\Desktop\xmrig-6.21.3下
在这里插入图片描述

接下来查看application应用日志,发现在5/26/2024 7.36.01 PM运行了xmrig程序,同时该程序由于报错而并未成功运行(windows error reporting),报错表明发生了内存泄漏或资源耗尽预警(type 5,RADAR_PRE_LEAK_64
在这里插入图片描述
但是只看到了对应在administrator桌面运行挖矿软件的时间,没有看到mysql对应的运行日志,似乎部署之后就没再管了,当然了,administrator的挖矿软件也已经被删除掉了

事已至此,基本也就确定了,攻击者通过暴力破解登录系统,创建mysql用户,部署shift后门并修改注册表劫持粘连键(并非常规的替换setch.exe设置后门
在这里插入图片描述
最后部署挖矿软件,在挖矿软件启动失败后,直接把administrator密码给替换掉了

后续就是帮客户把密码改了,因为拿到了mysql用户的密码,所以直接用粘连键后门就把密码重置了,而后大家懂的都懂

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2134889.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

从简单分析到智能问数,Smartbi AIChat让数据回归业务

大数据产业创新服务媒体 ——聚焦数据 改变商业 在某科技公司,资深数据分析师李晨(化名)正忙于分析新产品的市场表现。面对传统自助式BI工具,李晨在功能界面中手动设置各种查询条件,进行了一番复杂的拖拉拽操作&#…

spring模块(六)spring监听器(3)广播与异步问题

发布事件和监听器之间默认是同步的;监听器则是广播形式。demo: event: package com.listener.demo.event;import com.listener.demo.dto.UserLogDTO; import org.springframework.context.ApplicationEvent;public class MyLogEvent extends…

界面控件DevExpress中文教程:如何PDF图形对象的可见性?

DevExpress拥有.NET开发需要的所有平台控件,包含600多个UI控件、报表平台、DevExpress Dashboard eXpressApp 框架、适用于 Visual Studio的CodeRush等一系列辅助工具。屡获大奖的软件开发平台DevExpress 近期重要版本v24.1已正式发布,该版本拥有众多新产…

数据资产盘点

数据资产盘点包含调研诊断、数据盘点、数据对标校正、分类分级、权责划分、数据资产目录建立六大环节。调研诊断:通常采用访谈或案头梳理的方式,对 IT 整体建设情况、业务系统数据情况进行调研,框定数据资产管理范围、聚焦目标。 数据盘点&a…

spring整合mabatis框架(druid连接池)

spring整合mabatis框架&#xff0c;duird连接池&#xff0c;Junit5测试框架 1&#xff09;创建Maven工程 2&#xff09;导入相关的依赖 <!--springContext依赖--><dependency><groupId>org.springframework</groupId><artifactId>spring-contex…

helm一键化部署pod

目录 概念 安装helm helm的命令 自定义模版 回滚 概念 helm提供了一个模版&#xff0c;可以一键化的部署微服务。它通过打包的方式&#xff0c;把所有需要的yaml文件集合一起&#xff0c;然后一键部署&#xff0c;还可以支持回滚。 helm的本质&#xff1a;就是可以把k8s…

低压电抗器与电容器安装距离

低压电抗器与电容器的安装距离是一个关键问题&#xff0c;主要考虑电气安全、热效应以及电磁干扰等因素。通常建议保持适当的安装距离以确保设备的正常运行和安全性。 以下是一些常见的参考原则&#xff1a; 1、热效应 电抗器和电容器在运行过程中都会产生热量。如果两者之间距…

代数模型(Algebraic Models)---线性规划------ + 案例 + Python源码求解(见文中)

目录 一、代数模型&#xff08;Algebraic Models&#xff09;详解1.1什么是代数模型&#xff1f;1.2代数模型的基本形式1.3 安装所需要的Python包--运行下述案例1.4代数模型的应用案例案例 1&#xff1a;市场供需平衡模型Python求解代码Python求解结果如下图&#xff1a; 案例 …

GDPU MySQL数据库 天码行空1 数据库的创建和基本操作

一、实验目的 1&#xff0e;熟知机房用机安全规则。 2&#xff0e;通过上机操作&#xff0c;加深对数据库系统理论知识的理解&#xff1b;通过使用具体的DBMS&#xff0c;了解一种实际的数据库管理系统&#xff0c;并掌握其操作技术&#xff1b;通过对实际题目的上机实验&…

Java8的函数式编程简介

文章目录 环境背景方法方法1&#xff1a;Java 7&#xff08;传统方法&#xff09;方法2&#xff1a;Java 7 &#xff08;策略模式&#xff09;方法3&#xff1a;Java 8的Lambda表达式方法4&#xff1a;Java 8内建的函数式接口Predicate方法5&#xff1a;Java 8的方法引用方法6&…

JavaSE:5、类与对象

1、类的定义与对象的创建 定义属性 创建对象 2、对象的使用 使用一个变量来指代某个对象&#xff0c;只不过引用类型的变量&#xff0c;存储的是对象的引用&#xff0c;而不是对象本身 public class Main {public static void main(String [] argv){Person p1new Person();P…

Oracle发送邮件功能:配置自动化发信指南?

Oracle发送邮件服务设置方法&#xff1f;怎么用Oracle数据库发信&#xff1f; Oracle数据库作为企业级应用的核心&#xff0c;其内置的发送邮件功能为企业提供了强大的自动化工具。AokSend将详细介绍如何配置Oracle发送邮件功能&#xff0c;以实现自动化发信&#xff0c;从而提…

C和指针:指针

内存和地址 程序视角看内存是一个大的字节数组&#xff0c;每个字节包含8个位&#xff0c;可以存储无符号值0至255,或有符号值-128至127。 多个字节可以合成一个字&#xff0c;许多机器以字为单位存储整数&#xff0c;每个字一般由2个或4个字节组成。 由于它们包含了更多的位&…

react native(expo)多语言适配

项目基于 expo框架 开发。请先配置好 expo 开发环境 1.引入i18n-js npx expo install i18n-js 2.新建languages文件夹&#xff0c;其中包括英文、中文等语种目录。结构如下&#xff1a; *.json文件为语种翻译后的json键值对&#xff0c;用于UI中引用; { "appName&q…

【C语言】(指针系列3)数组指针+函数指针+typedef+函数数组指针+转移表

前言&#xff1a;前言&#xff1a;开始之前先感谢一位大佬&#xff0c;清风~徐~来-CSDN博客&#xff0c;由于是时间久远&#xff0c;博主指针的系列忘的差不多了&#xff0c;所以有顺序部分借鉴了该播主的&#xff0c;同时也加入了博主自己的理解&#xff0c;有些地方如果解释的…

MySQL语句案例编写复习

先看我的表数据和结构 1.查询年龄为16,17,18,19岁的女性员工信息。 select * from emp where gender 女 and age in(16,17,18,19); 2.查询性别为 男 &#xff0c;并且年龄在 20-40 岁(含)以内的姓名为三个字的员工。 select * from emp where gender 男 and age between …

猫罐头多久喂一次?营养健康的罐头推荐

一&#xff0e;猫罐头多久喂一次 猫咪长期只食用干粮&#xff0c;容易饮水不足&#xff0c;从而引发上尿道或膀胱结石、堵塞等问题&#xff0c;所以最好每周喂至少2个猫罐头&#xff0c;帮助猫咪补充水分。如果条件允许&#xff0c;全罐喂养&#xff0c;每天都给猫咪吃猫罐头是…

车机中 Android Audio 音频常见问题分析方法实践小结

文章目录 前言1. 无声2. 断音3. 杂音4. 延迟播放5. 焦点问题6. 无声问题(连上 BT )其他完善中…… 前言 本文主要总结了一下车机开发中遇到的 Audio 有关的问题&#xff0c;同时参考网上的一案例&#xff0c;由于Audio 模块出现音频问题的场景很多&#xff0c;对每一个出现的问…

Blender渲染太慢怎么办?blender云渲染已开启

动画行业蓬勃发展&#xff0c;动画制作软件亦持续推陈出新&#xff0c;当制作平台日益丰富&#xff0c;创作难度降低&#xff0c;创作效率提升&#xff0c;如何高效完成复杂动画的渲染就成了从业者更关心的问题。 云渲染技术的出现&#xff0c;无疑为动画制作者提供了前所未有…

家庭理财管理系统

&#x1f449;文末查看项目功能视频演示获取源码sql脚本视频导入教程视频 1 、功能描述 家庭理财管理系统拥有多种角色&#xff0c;可以自行设置权限和用户等&#xff0c;主要功能有&#xff1a; 收入管理、支付管理、资产管理、负债详情、统计报表、家庭成员管理、用户管理等…