安基网 首页 安全 攻防案例 查看内容

记数据库应急响应

2020-2-2 16:47| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 搜某客户 数据库服务器遭到黑客入侵,需要做应急处理。服务器位于某运营商机房内。自己之前做的基本上是web和系统方面的应急响应,数据库应急响应也是第一次接触。事前准备 事先通过搜索客户ip信息,发现在10月份被某高校列入攻击 ...


事件描述


接到通知,某客户 数据库服务器遭到黑客入侵,需要做应急处理。服务器位于某运营商机房内。自己之前做的基本上是web和系统方面的应急响应,数据库应急响应也是第一次接触。


事前准备


事先通过搜索客户ip信息,发现在10月份被某高校列入攻击黑名单,攻击端口为1433。



进一步跟踪发现,服务器在几个月前就可能已经被入侵。


开始排查


通过远程连接到服务器,首先查看下服务器的基本情况


查看日志记录并未异常情况



查看端口发现存在大量外连1433端口(由于cmd程序报错异常,所以使用powershell进行查看)



服务器上安装了杀毒软件,此时发现杀毒软件报毒信息,进一步查看所在路径但并未发现存在此文件。



查看系统关键路径发现存在两个后缀名为dvr的可疑文件



继续查看系统关键路径,发现wbem目录下存在可疑的文件123.bat



查看文件内容,发现存在创建文件行为,并通过resgsvr 32 注册dll文件


数据库方面,客户告知数据库被植入后门账号,找到后门账号dbhelp



通过排查,发现存在另一个可疑后门账号mssqla



通过查看数据库日志,发现存在被爆破的痕迹


cur

查看数据库作业发现存在大量任务计划



具体操作内容



通过查阅网上相关技术资料和文章,结合客户描述的开机CPU占用率100%,基本确定与挖矿有关。

总结


最后通过和管理员沟通发现,根本原因是由于数据库弱口令被黑客爆破。

所以在这里提醒广大管理员不要设置弱口令!!!不要为了给自己提供一时方便,也给黑客提供了机会,给自己以后的工作造成麻烦。

记得上次phpstudy后门应急响应,我提醒开发人员生产环境要用安全的中间件,结果他问我最新版的phpstudy可不可以。。。只能说图一时方便,只能会花更多时间填坑。


作者:秦萧

转载注明:https://www。secpulse。com/archives/118356。html




小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6788746377733079555/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
上海11选5 98彩票计划群 极速赛车的龙虎怎么买 极速赛车开奖记录200期 安徽快3走势 欢乐斗牛 极速赛车怎么充值 山东11选5开奖 极速赛车登陆 大金彩票计划群