应急响应实战---是谁修改了我的密码?

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介: 此次应急响应为真实案例,客户反馈无法通过密码登录服务器,疑似服务器被入侵

前言:此次应急响应为真实案例,客户反馈无法通过密码登录服务器,疑似服务器被入侵

0x01 如何找回密码?

客户服务器为windows server2019,运维平台为PVE平台;实际上无论是windows系统或者是linux系统,只要磁盘没有加密的情况,都可以通过挂载live盘的模式加载外部系统对密码进行修改;linux修改密码只需要替换掉/etc/shadow 即可覆盖密码;而windows系统则更简单,只需要使用类似大白菜之类的系统工具即可清空系统密码,当然了,没人敢上去就在客户那瞎搞,所以首先当然是把镜像导出来,而pve导出系统镜像为qcow2格式,这个格式是没办法直接在vmare上直接操练的,所以需要借助工具转化一下

qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk

导出后,即可在vmare产品创建一个windows的虚拟机空壳,然后将vmdk磁盘挂载即可,具体过程请大家自行百度,此处不赘述


下图为挂载后正常开机的效果

图片.png

解锁后确实是无法进入系统的,但是随便点了几下shift后,笔者发现了个有趣的东西

图片.png

一个疑似shift后门的东西出来了,还是魔改带密码的shift后门,这就不着急改密码了,笔者本来想直接利用FTK进行磁盘挂载,然后将注册表取出来看一下注册表,结果,邪门的事发生了,就是挂载的注册表里竟然没有sethc.exe的键值......

图片.png

这会不想重置密码都不行了,因为找不到注册表的话就不知道他的密码写在什么位置了

此处借用老白菜的live镜像去挂载系统,这样启动的话直接就可以进老白菜系统,不需要去调bios

图片.png

但是需要设置一下打开电源进入固件

图片.png

系统重启后,会自动进入老白菜工具面板,使用密码管理工具,将administrator ,这个时候发现了一个mysql用户,经过与客户沟通,该用户确定并非客户创建

图片.png

0x02 shift后门在哪里?

置空administrator后,直接可以无密码进入系统了,这个时候再看一下注册表,发现注册表里又有sethc.exe键值了......

图片.png

根据路径,发现了有意思的东西

图片.png

图片.png

从这个注册表劫持文件,可以看出来,该工具加载mysql.bat的文件,用户名当然不是文件里的admin,而是文件名字“mysql”,但是密码是里面的password字段

图片.png

尝试使用一下他的后门

图片.png

图片.png

图片.png

权限还是system权限,太厉害了集霸们

图片.png

0x03 mysql用户里有什么?

利用得到的密码登录mysql用户

图片.png

好好好,好活当赏,这是要挖矿啊

0x04 集霸是通过什么漏洞入侵服务器的

返回到administrator用户,开始翻日志,但是在翻日志之前,看了一眼开放的端口、正在运行的服务和系统资源的占用,发现系统开放了445/3389端口,没有奇怪的外连进程,没有挖矿进程,资源也没有出现波动

图片.png

图片.png

图片.png

啥也没有,但是看端口猜测是暴力破解,server2019也没听说有溢出漏洞(最新的那个RDP溢出暂时不考虑在内,因为这个应急是在演练之前的,嘻嘻嘻)

通过查看系统安全日志,发现在计算机出现异常当天的登录失败日志(id为4625)高达两万五千次

图片.png

继续筛查4624登录成功日志,发现时间节点 7:27:23 PM ,administrator用户从网络登录到本机(疑似使用SMB网络共享),猜测爆破密码成功

图片.png

0x05 集霸是什么时候创建的mysql用户?

筛选4720 日志,该日志为创建用户日志

时间 7:28:42 PM ,攻击者使用Administrator创建用户mysql 用户

图片.png

通过筛选计算机系统安全日志4724/4738发现,在7:28:42 PM 时间节点,攻击者使用administrator用户修改了mysql用户的密码

图片.png

图片.png

而后在 7:37:30 PM 发现mysql用户使用远程桌面方式登录桌面(rdp)

图片.png

筛选4738系统安全日志,发现 7:43:45 PM时间节点,确认administrator密码被篡改,因此发生无法登录的情况

图片.png

0x06  集霸是什么时候将挖矿工具部署在服务器里的?

查看system日志,7:35:30 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\administrator\Desktop\xmrig-6.21.3下

图片.png

查看system日志,7:41:24 PM系统安装了一个可疑服务WinRing0_1_2_0,安装服务文件名为WinRing0x64.sys。通过日志可以得知,挖矿软件位于C:\Users\mysql\Desktop\xmrig-6.21.3下

图片.png

接下来查看application应用日志,发现在5/26/2024 7.36.01 PM运行了xmrig程序,同时该程序由于报错而并未成功运行(windows error reporting),报错表明发生了内存泄漏或资源耗尽预警(type 5,RADAR_PRE_LEAK_64


图片.png

但是只看到了对应在administrator桌面运行挖矿软件的时间,没有看到mysql对应的运行日志,似乎部署之后就没再管了,当然了,administrator的挖矿软件也已经被删除掉了


事已至此,基本也就确定了,攻击者通过暴力破解登录系统,创建mysql用户,部署shift后门并修改注册表劫持粘连键(并非常规的替换setch.exe设置后门

图片.png

最后部署挖矿软件,在挖矿软件启动失败后,直接把administrator密码给替换掉了


后续就是帮客户把密码改了,因为拿到了mysql用户的密码,所以直接用粘连键后门就把密码重置了,而后大家懂的都懂




相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
ly~
|
2月前
|
监控 安全 生物认证
针对身份验证错误和漏洞,有哪些应急响应措施 发消息、输入 @ 或 / 选择技能
针对身份验证错误和漏洞,应立即停止相关服务,锁定受攻击账户,排查问题,修复漏洞,加强密码安全,完善身份验证流程,强化会话管理,建立安全监控和预警机制,通知用户并进行沟通,最后进行事后评估和总结。
ly~
58 2
|
5月前
|
监控 网络协议 数据安全/隐私保护
​邮件发送失败DMARC报错问题排查解决有什么理想方法
在邮件营销中,DMARC(域消息验证)报错常见。DMARC基于SPF和DKIM,指定如何处理未认证邮件。排查DMARC问题需检查SPF记录,验证DKIM签名,配置DMARC策略,使用AOKSend发送测试邮件。理想的解决方法包括:定期更新DNS记录,使用专业邮件服务如AOKSend简化配置,监控DMARC报告,逐步加强DMARC策略,并对员工进行培训。这将提高邮件发送成功率和安全性。
|
5月前
|
监控
若依修改-----其他功能,包括参数设置,通知公告,日志管理,验证码控制开关在参数设置里,若依的注册页面是隐藏的,在src的login.vue的97行注册开发,修改成true,通知公告,促进组织内部信
若依修改-----其他功能,包括参数设置,通知公告,日志管理,验证码控制开关在参数设置里,若依的注册页面是隐藏的,在src的login.vue的97行注册开发,修改成true,通知公告,促进组织内部信
|
5月前
|
缓存 监控 NoSQL
若依修改----监控相关,主要包括在线用户,数据监控,服务监控,缓存监控,缓存列表,缓存监控有助于帮我们搞清楚redis的缓存情况,数据监控的密码控制台管理用户名和密码在application-dru
若依修改----监控相关,主要包括在线用户,数据监控,服务监控,缓存监控,缓存列表,缓存监控有助于帮我们搞清楚redis的缓存情况,数据监控的密码控制台管理用户名和密码在application-dru
|
6月前
|
SQL JSON 数据库
大事件后端项目20------更新用户密码
大事件后端项目20------更新用户密码
|
安全 测试技术 数据安全/隐私保护
安全测试----用户同时采用两种校验方法,通过才可以登录成功
安全测试----用户同时采用两种校验方法,通过才可以登录成功
|
数据安全/隐私保护
JMX安全漏洞修复 服务端增加用户名和密码验证机制
JMX安全漏洞修复 服务端增加用户名和密码验证机制
164 0
|
安全 Java 数据库
认证用户状态的判断|学习笔记
快速学习认证用户状态的判断
认证用户状态的判断|学习笔记
|
Java 数据安全/隐私保护
WEB核心【记录网站登录人数,记录用户名案例】Cookie技术实现
本篇讲两个案例(记录网站登录人数,记录用户名案例)用会话技术cookie进行实现。
WEB核心【记录网站登录人数,记录用户名案例】Cookie技术实现