2008 这几天被日的有点严重啊 dalao来分析下-美国VPS综合讨论-全球主机交流论坛 - 手机版 - Powered by Discuz!

[Windows VPS] 2008 这几天被日的有点严重啊 dalao来分析下只看楼主

1^# 莫桑比特
收藏 2017-4-25 17:29:13

本帖最后由莫桑比特于 2017-4-26 09:23 编辑

什么端口被日的机器出现重启密码过期的情况

psb (1).png (5.88 KB)
(下载次数: 4, 2017-4-25 19:07 上传)

psb.png (20.41 KB)
(下载次数: 4, 2017-4-25 19:07 上传)

被日机器出现这样的情况或者干脆就是密码错误

重置密码后正常登陆观察到CPU 会有突发100%情况流量突发推测是远程溢出

系统补丁打了和没打没区别远程端口改了和没改一样

135、137、139、445端口关了和没关一样统统被日

--------------------------------------------------------------

net user 下看到不明账号100% 被黑

---------------------------------------------------------------

有没有dalao知道是什么洞口进来的

来自 25# modianxia
2017-4-26 07:51:00

本帖最后由 modianxia 于 2017-4-26 08:05 编辑

刚被人日了蓝屏了

QQ截图20170426074825.png (11.35 KB)
(下载次数: 4, 2017-4-26 07:50 上传)

大佬分析分析这个样本，解压密码111

mm.zip (931.59 KB)
(下载次数: 25, 2017-4-26 08:04 上传)

来自 34# ahao358
2017-4-26 09:55:14

本帖最后由 ahao358 于 2017-4-26 10:17 编辑

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
防火墙里开了ICMP所有，怀疑是通过这，印象中没开防火墙，黑人好象帮我开了。
其他的目前还看不出来，水平有限。

补充：
windows目录下有un.exe csrss.exe winsxslog.rar等几个可疑文件。

来自 37# ahao358
2017-4-26 10:57:12

引用: 莫桑比特发表于 2017-4-26 10:31
2008 64感觉跟出了0day一样

感觉是有0DAY了，那机器就用来挂机，远程桌面没开，防火墙也没开，但还是被日了。
现在删除那可疑服务和相关文件，取消远程桌面，删除那防火墙ICMP全开规则，目前还没发现其他情况，现在在更新，不知道黑人还有没有开放其他。现在更新没动静，等了好久，只能继续观察了

2^# 今晚我是你的
2017-4-25 17:29:49

还没遇到过

3^# 莫桑比特
2017-4-25 17:30:49

引用: 今晚我是你的发表于 2017-4-25 17:29
还没遇到过

可能还没扫到

4^# 背影
2017-4-25 18:30:53

奶奶的,我全军复没

5^# 睡在键盘上
2017-4-25 18:48:04

引用: 背影发表于 2017-4-25 18:30
奶奶的,我全军复没

什么端口被日的

6^# 睡在键盘上
2017-4-25 18:48:34

为什么出现密码过期呢

7^# 鼎峰网络包子
2017-4-25 18:57:33

那是微软系统跟新问题

8^# 莫桑比特
2017-4-25 19:04:29

引用: 睡在键盘上发表于 2017-4-25 18:48
为什么出现密码过期呢

应该是远程溢出导致的

9^# 莫桑比特
2017-4-25 19:06:05

引用: 鼎峰网络包子发表于 2017-4-25 18:57
那是微软系统跟新问题

并不是微软更新问题出现问题的包括了更新的没更新的不知道是什么溢出

10^# 莫桑比特
2017-4-25 19:10:30

引用: 睡在键盘上发表于 2017-4-25 18:48
什么端口被日的

还没排查出来是哪个端口被日

12 3 4 .. 6 / 6 页下一页