全球主机交流论坛

标题: 2008 这几天被日的有点严重啊 dalao来分析下 [打印本页]

作者: 莫桑比特 时间: 2017-4-25 17:29
标题: 2008 这几天被日的有点严重啊 dalao来分析下
本帖最后由莫桑比特于 2017-4-26 09:23 编辑

什么端口被日的机器出现重启密码过期的情况

(, 下载次数: 4)

(, 下载次数: 4)

被日机器出现这样的情况或者干脆就是密码错误

重置密码后正常登陆观察到CPU 会有突发100%情况流量突发推测是远程溢出

系统补丁打了和没打没区别远程端口改了和没改一样

135、137、139、445端口关了和没关一样统统被日

--------------------------------------------------------------

net user 下看到不明账号100% 被黑

---------------------------------------------------------------

有没有dalao知道是什么洞口进来的

作者: 今晚我是你的 时间: 2017-4-25 17:29
还没遇到过

作者: 莫桑比特 时间: 2017-4-25 17:30

今晚我是你的发表于 2017-4-25 17:29
还没遇到过

可能还没扫到

作者: 背影 时间: 2017-4-25 18:30
奶奶的,我全军复没

作者: 睡在键盘上 时间: 2017-4-25 18:48

背影发表于 2017-4-25 18:30
奶奶的,我全军复没

什么端口被日的

作者: 睡在键盘上 时间: 2017-4-25 18:48
为什么出现密码过期呢

作者: 鼎峰网络包子 时间: 2017-4-25 18:57
那是微软系统跟新问题

作者: 莫桑比特 时间: 2017-4-25 19:04

睡在键盘上发表于 2017-4-25 18:48
为什么出现密码过期呢

应该是远程溢出导致的

作者: 莫桑比特 时间: 2017-4-25 19:06

鼎峰网络包子发表于 2017-4-25 18:57
那是微软系统跟新问题

并不是微软更新问题出现问题的包括了更新的没更新的不知道是什么溢出

作者: 莫桑比特 时间: 2017-4-25 19:10

睡在键盘上发表于 2017-4-25 18:48
什么端口被日的

还没排查出来是哪个端口被日

作者: 背影 时间: 2017-4-25 19:11
最新漏洞，打补丁就没事，把密码做成永不过期

作者: 莫桑比特 时间: 2017-4-25 19:12

背影发表于 2017-4-25 19:11
最新漏洞，打补丁就没事，把密码做成永不过期

打补丁一样的

作者: 背影 时间: 2017-4-25 19:19
我打过最新的补丁就OK，如果无效就杀毒或重装

作者: ballpen 时间: 2017-4-25 20:07
关注

作者: suzizi 时间: 2017-4-25 20:52
提示: 作者被禁止或删除内容自动屏蔽

作者: 斜阳晚暮 时间: 2017-4-25 20:57

suzizi 发表于 2017-4-25 20:52
最新补丁在哪里啊？

应该自动更新就行了吧。

作者: musics 时间: 2017-4-25 21:32
难道就2008受影响？最近好像扫得很疯狂，个人比较喜欢用LINUX和BSD,开了一台WIN 小鸡暂时没事。

作者: baymin 时间: 2017-4-25 22:16
我用的都是2012

作者: Potala 时间: 2017-4-26 05:41
最新补丁都打了
RDP端口我从来都不用默认的还是被日了几台
连夜对RDP端口做了IP访问限制，这回应该没事了

作者: 今晚我是你的 时间: 2017-4-26 06:14
装安全狗限制计算机名

作者: Captain 时间: 2017-4-26 06:17
确实有这个问题....

客户被日了几台了

作者: 魔尊 时间: 2017-4-26 06:25
吓得我赶快关机

作者: 魔尊 时间: 2017-4-26 07:10
你们被日的都是国外的吧
我几台国内的都没问题

作者: lovees 时间: 2017-4-26 07:41
配置防火墙规则，像我 80 443 21 还有一个远程端口，其他全禁用，（还有远程的3389更改端口很重要）大部分第一个扫的就是3389

作者: modianxia 时间: 2017-4-26 07:51
本帖最后由 modianxia 于 2017-4-26 08:05 编辑

刚被人日了蓝屏了
(, 下载次数: 4)

大佬分析分析这个样本，解压密码111
(, 下载次数: 25)

作者: 莫桑比特 时间: 2017-4-26 08:56

modianxia 发表于 2017-4-26 07:51
刚被人日了蓝屏了

今天开始大量传马了

作者: lovees 时间: 2017-4-26 09:00

modianxia 发表于 2017-4-26 07:51
刚被人日了蓝屏了

我靠，什么马，那么大，将近1MB，一会儿虚拟机分析下

作者: 莫桑比特 时间: 2017-4-26 09:19

lovees 发表于 2017-4-26 09:00
我靠，什么马，那么大，将近1MB，一会儿虚拟机分析下

分析什么马没用现在是找从什么洞进来的

作者: 莫桑比特 时间: 2017-4-26 09:21

lovees 发表于 2017-4-26 09:00
我靠，什么马，那么大，将近1MB，一会儿虚拟机分析下

分析什么马没用现在是找从什么洞进来的

作者: ballpen 时间: 2017-4-26 09:22
关注

作者: lovees 时间: 2017-4-26 09:31

莫桑比特发表于 2017-4-26 09:21
分析什么马没用现在是找从什么洞进来的

这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什么攻击都拿你没辙，我目前就设置，只有我允许的几个端口可以访问服务器，其他只出不入

作者: junhan 时间: 2017-4-26 09:38

这么牛逼

作者: 莫桑比特 时间: 2017-4-26 09:43

lovees 发表于 2017-4-26 09:31
这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什 ...

目前我这客户只保留 web和远程端口一样被日

作者: ahao358 时间: 2017-4-26 09:55
本帖最后由 ahao358 于 2017-4-26 10:17 编辑

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
防火墙里开了ICMP所有，怀疑是通过这，印象中没开防火墙，黑人好象帮我开了。
其他的目前还看不出来，水平有限。

补充：
windows目录下有un.exe csrss.exe winsxslog.rar等几个可疑文件。

作者: 莫桑比特 时间: 2017-4-26 10:31

ahao358 发表于 2017-4-26 09:55
我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。

2008 64感觉跟出了0day一样

作者: tiane12 时间: 2017-4-26 10:48
我的腾讯云也被黑了。3389端口默认。

作者: ahao358 时间: 2017-4-26 10:57

莫桑比特发表于 2017-4-26 10:31
2008 64感觉跟出了0day一样

感觉是有0DAY了，那机器就用来挂机，远程桌面没开，防火墙也没开，但还是被日了。
现在删除那可疑服务和相关文件，取消远程桌面，删除那防火墙ICMP全开规则，目前还没发现其他情况，现在在更新，不知道黑人还有没有开放其他。现在更新没动静，等了好久，只能继续观察了

作者: ahao358 时间: 2017-4-26 11:08

鼎峰网络包子发表于 2017-4-25 18:57
那是微软系统跟新问题

不一定，原来设置是密码永不过期，被黑后发现异常时是出现这，机器还不定时重启，后来发现如我上面回复说的情况了。

作者: loony 时间: 2017-4-26 11:42
详情请搜索：Windows系统 SMB/RDP远程命令执行漏洞

作者: robit 时间: 2017-4-26 12:23
2008还是2008R2?

作者: 莫桑比特 时间: 2017-4-26 15:49

robit 发表于 2017-4-26 12:23
2008还是2008R2?

都有

作者: robit 时间: 2017-4-26 18:33

莫桑比特发表于 2017-4-26 15:49
都有

这么悲剧...我的打了补丁后貌似没事了我的R2...

作者: 鼎峰网络包子 时间: 2017-4-26 18:41
可能和微软Windows系统更新出现Bug有一定关系。该自动更新会自动关闭防火墙，导致服务器端口禁用，网站无法访问。

   解决办法：
   1、及时更新系统补丁到最新版本，并屏蔽掉可能引起远程漏洞的135、 137 、139、445端口。
   2、手动在防火墙添加所需应用的端口白名单。

常用的端口都要添加

网站：80端口

远程：33890端口，如果是修改了默认的远程端口，例如10086，这种端口也要添加。

作者: uuis 时间: 2017-4-26 18:45
和明显是 3389。。。。与iis没关系。。。

作者: ballpen 时间: 2017-4-26 19:30
关注

作者: sunday 时间: 2017-4-26 19:35

robit 发表于 2017-4-26 18:33
这么悲剧...我的打了补丁后貌似没事了我的R2...

windows 自动更新么？
有没有单独补丁包下载，一个一个下比较痛苦

作者: robit 时间: 2017-4-26 19:36

sunday 发表于 2017-4-26 19:35
windows 自动更新么？
有没有单独补丁包下载，一个一个下比较痛苦

自动更新木有补丁包...灰常痛苦...

作者: sunday 时间: 2017-4-26 19:37

robit 发表于 2017-4-26 19:36
自动更新木有补丁包...灰常痛苦...

痛苦了，有些机器就跑挂机的，一个补丁都没装，这要全部装上补丁的话。。。今夜失眠了

作者: ahao358 时间: 2017-4-27 09:06
刚才又发现一台WIN7的机器又中弹了，不单和昨天那台那样的情况，还多了QQSS。。。。。的文件

作者: freeweb 时间: 2017-4-27 10:32
您好，2017年4月15日，国外黑客组织Shadow Brokers泄露出了一份机密文档，其中包含了多个Windows 0Day远程漏洞利用工具，外部攻击者利用此工具可远程攻击并获取服务器控制权限，该漏洞影响极大。

https://console.qcloud.com/announce/detail?regionId=-1&announceId=13

作者: ahao358 时间: 2017-4-29 10:58
请教下大家，机器一直被随机重启，这要如何处理呢？不重装的情况下。

作者: 小平头 时间: 2017-4-30 10:50
同样的情况

作者: jafor 时间: 2017-4-30 11:03
这个0day漏洞。。还好我用linux

作者: zwstar 时间: 2017-4-30 11:05
请关注一下最近网上爆出的美国NSA的攻击工具，目前所有Windows系统的攻击工具一箩筐

作者: yunran 时间: 2017-4-30 17:15
:)

欢迎光临全球主机交流论坛 (https://443502.xyz/)