http://polish.12states.com/r/l/updating-bugs_keeping.php

显示全部楼层 · 发表于 2012-12-12 04:52:05

本帖最后由 wjcharles 于 2012-12-12 04:55 编辑

JAVA漏洞利用？

NIS2013 ips

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,类别,默认操作,采取的操作,IPS 警报名称,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2012/12/12 4:42:02,高,阻止了 polish.12states.com 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Malicious Toolkit Website 9,"polish.12states.com (193.9.250.113, 80)",polish.12states.com/r/l/updating-bugs_keeping.php,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49267)",193.9.250.113 (193.9.250.113),"TCP, www-http"

2012/12/12 4:42:01,高,阻止了 polish.12states.com 的入侵企图,已阻止,不需要操作,,不需要操作,不需要操作,Web Attack: Malicious Toolkit Website 45,"polish.12states.com (193.9.250.113, 80)",polish.12states.com/r/l/updating-bugs_keeping.php,"WIN-MUD6U7NNTD1.localdomain (192.168.58.128, 49267)",193.9.250.113 (193.9.250.113),"TCP, www-http"

关闭ips，让漏洞利用成功

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2012/12/12 4:42:45,高,检测到 wgsdgsdgdsgsd.exe (SONAR.Module!gen3) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\wjch\wgsdgsdgdsgsd.exe
2012/12/12 4:42:42,高,检测到 wlsidten.dll (SONAR.Module!gen3) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\users\wjch\appdata\local\temp\wlsidten.dll
2012/12/12 4:42:39,高,检测到 updating-bugs_keeping[1].htm (Trojan.Malscript!html) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\wjch\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\yv0gtm8j\updating-bugs_keeping[1].htm

这个exe由java.exe释放（见加粗部分）

完整路径: c:\users\wjch\wgsdgsdgdsgsd.exe
威胁: SONAR.Module!gen3
____________________________
____________________________

在电脑上的创建时间
2012/12/12 ( 4:42:36 )

上次使用时间
2012/12/12 ( 4:42:45 )

启动项目
否

已启动
是

____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

hxxp://polish.12states.com/r/f.php?k=1

已下载文件wgsdgsdgdsgsd.exe威胁名称: SONAR.Module!gen3
 自12states.com

file origin tree



java.exe



wgsdgsdgdsgsd.exe

____________________________
文件操作
wgsdgsdgdsgsd.exe
已删除

平均资源使用率:
未知

平均CPU 使用率:
未知

平均内存使用率:
未知

____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

这个dll文件为什么explorer.exe释放的呢？

完整路径: 不可用
威胁: SONAR.Module!gen3
____________________________
____________________________

在电脑上的创建时间
2012/12/12 ( 4:42:30 )

上次使用时间
2012/12/12 ( 4:42:42 )

启动项目
否

已启动
是

____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

file origin tree



explorer.exe

wlsidten.dll

____________________________
文件操作
wlsidten.dll
已删除

平均资源使用率:
未知

平均CPU 使用率:
未知

平均内存使用率:
未知

____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2012-12-12 09:19:52

飛塔攔截

显示全部楼层 · 发表于 2012-12-12 09:58:11

以身试读？别玩实机。。。很容易中奖的

占楼

显示全部楼层 · 发表于 2012-12-12 12:37:29

显示全部楼层 · 发表于 2012-12-12 14:32:45

m220011 发表于 2012-12-12 09:58
以身试读？别玩实机。。。很容易中奖的

虚拟机里的，需要旧版java，实机环境不符

显示全部楼层 · 发表于 2012-12-12 16:09:54

wjcharles 发表于 2012-12-12 14:32
虚拟机里的，需要旧版java，实机环境不符

貌似可能就不需要java漏洞……直接java环境就行了，把恶意网址扔到javaruntime里面，网址本身就是pe，真是悲剧啊

显示全部楼层 · 发表于 2012-12-12 16:32:30

wjhstu-VxG 发表于 2012-12-12 16:09
貌似可能就不需要java漏洞……直接java环境就行了，把恶意网址扔到javaruntime里面，网址本身就是pe，真是 ...

那个exe由java主程序释放的解释得通，但dll为什么是explorer释放的，有没有抓到原因？还有被杀的html文件里不知道有什么秘密

显示全部楼层 · 发表于 2012-12-12 16:54:09

wjcharles 发表于 2012-12-12 16:32
那个exe由java主程序释放的解释得通，但dll为什么是explorer释放的，有没有抓到原因？还有被杀的html文 ...

……这个，我也小白，我也在学习；这里大神都走了…

[未鉴定] http://polish.12states.com/r/l/updating-bugs_keeping.php

评分