我被攻击了 入侵 远控服务器 后门连接
rpceods后门
weiwhy 2019-01-17 19:17:52 570人浏览

昨天提交的时候比较仓促,今天我补一下,昨天忘传了一个样本

有时间把我手里的近1一个月的样本提交一下,大概有100多个(均为业务环境中样本,非蜜罐,手法诡异,八仙过海,各显神通)

0x1背景

近日,突然发现我的网站被人搞了,我的网站竟然会赌博了,卧槽,这我能忍吗?当然不能啊

0x2常规操作。。。。。

查找网站的后门----------无任何发现

还原网站-----

0x4有没有后门呢

ps操作了一下,似乎没有什么问题,也没有发现什么可疑进程

tcpdump抓包--发现竟然有主动通信,卧槽,这个什么情况

难道???

0x4内鬼现身

直觉性的迅速stat主机的ps命令,卧槽,闹哪样啊

此处无图

然后反编译一下

image.png

这个ps过滤操作令我耳目一新

0x5欧克

用正常的ps命令查看主机的进程

终于发现了这个隐藏的老哥

image.png

souga

0x6反编译后门

image.png

有点意思啊,47.244.146.98

这是闹哪样

威胁指标(IOC)
ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
匿名用户 2019-02-02 07:33:51 回复
“近日,突然发现我的网站被人搞了,我的网站竟然会赌博了,卧槽,这我能忍吗?当然不能啊”

应该这么写“近日,突然发现我的网站被人教坏了,我的网站竟然学会赌博了,卧槽,叔可忍婶不可忍”
匿名用户 2019-01-17 19:36:54 回复
期待这100多个样本