求溯源 入侵 木马 其他攻击 求分析
一朋友服务器发现的样本
Sp4ce 2018-03-26 20:45:51 2228人浏览

一朋友服务器在22号被入侵了,留下了几个挖矿的和Gh0st之外还留了个别的木马,反汇编看了下,有些IP可以拉黑了


附:MySQL库被填充的表

QQ截图20180402145348.png

这些表都是空的但是占据空间。。

评论 27
未知数 2018-12-27 14:29:40 回复
101.226.4.6 情报有误啊
gghaoren 2018-06-13 19:29:36 回复
101.226.4.6 跟 123.125.81.6 都是dns派的 地址,跟360合作 使用360那个急救箱就回把DNS改成这两个,你提供的IP地址IOC有相关的通信数据包吗?
jt 2018-09-20 20:42:04 回复
回复@gghaoren: dns派的 地址 是指什么
匿名用户 2018-05-22 16:04:12 回复
还有这种操作?
匿名用户 2018-05-21 16:18:02 回复
不错
匿名用户 2018-05-21 16:11:58 回复
姿势可以
匿名用户 2018-05-21 16:10:34 回复
姿势可以
匿名用户 2018-05-21 16:07:51 回复
学习学习1
h0st 2018-05-21 16:07:19 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:31 回复
学习学习
匿名用户 2018-05-21 16:04:43 回复
厉害了
匿名用户 2018-05-21 15:57:06 回复
学习个
匿名用户 2018-05-21 15:50:16 回复
niupi 1
匿名用户 2018-05-21 15:49:18 回复
niupi
匿名用户 2018-05-21 15:48:03 回复
77777
匿名用户 2018-05-21 15:46:57 回复
666
匿名用户 2018-05-21 15:45:39 回复
666
匿名用户 2018-05-21 15:44:34 回复
666
匿名用户 2018-03-30 11:05:44 回复
留下啥马了?
Sp4ce 2018-04-01 00:37:20 回复
挖XMR的
chq2ll 2018-03-28 09:32:46 回复
细节高于一切
微步情报局 2018-03-26 20:58:19 回复
求讲解下入侵细节。 已加分。
Sp4ce 2018-03-26 21:09:39 回复
回复@微步情报局: 由于服务器安装了mysql和redis,redis经过加固的,3389端口没有开外连,mysql为弱口令且可外连,推测为通过Mysql拿下的
匿名用户 2018-03-29 23:21:44 回复
回复@Sp4ce: 你这个入侵的细节有点牵强啊
Sp4ce 2018-04-01 00:37:05 回复
没办法,服务器都重装了,MYSQL连上后在mysql表发现了一堆垃圾数据,再怎么猜都能知道是通过mysql搞的了,据说某云的北京一个机房都挨了
匿名用户 2018-04-01 19:32:13 回复
回复@Sp4ce: 垃圾数据这个细节有意思
Sp4ce 2018-04-02 14:56:52 回复
图已上传