本帖最后由 NULL-Xcode 于 2017-4-26 08:31 编辑
昨天,在我账户名下的好几台服务器都同一时间被这个漏洞给黑掉了。
具体表现为调用winlogon.exe进程令CPU占用率上涨到100%,在Windows文件夹下多了一个system文件夹,里面的msinfo.exe就是被黑客注入的文件(贴里附带了样本,求大神继续深入分析)
然后就是网络状态服务被禁用
服务器的DNS被改为了223.5.5.5或223.6.6.6,8.8.8.8导致服务器无法和内网监测服务器进行连接
用户组上多出了这个叫IUSR_Servs的账户,并被添加进了Administrator组(由于我的服务器上有防护软件,所以被添加进了这个组实际上并没有生效)
查询日志几乎都是被暴力破解的痕迹
下面这里是被成功破解,并创建了账户及修改用户组
然后就被安全工具拦截了
以上就是漏洞的全部行为,写的有点匆忙,不足之处希望指出!
我的解决方法是在任务管理器上先结束msinfo.exe这个进程再结束掉winlogon.exe这个进程,如果先结束了winlogon.exe这个高CPU占用率的进程就会马上自动恢复启动。
然后到windows下,把system这个目录给删除掉(这个并非真正的系统目录,是攻击者伪装的)。删不掉的可以用文件粉碎机强制删除。
然后在用户组中把恶意账户移除Administrator组,再删除恶意账户(IUSR_Servs)
把被停用的网络服务重启(必须进行了第一步骤才能重启,不然是无法启动的)
在注册表中删除与msinfo.exe有关的各种项。
然后重启系统,完成
因为我的系统装有各种环境,不方便重装系统,但我还是推荐重装一下,其他的情况有待观察
下面是主机商给出的回复原话。
国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。
目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列): | Windows NT | | Windows 2000 | | Windows XP | | Windows 2003 | | Windows Vista | | Windows 7 | | Windows 8 | | Windows 2008 | | Windows 2008 R2 | | Windows Server 2012 SP0 |
为保证您在马赛克上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:
【风险等级】
高风险
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
【漏洞验证】 确定服务器是否对外开启了137、139、445端口 测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
【漏洞修复建议】 1、推荐方案:更新官方补丁 截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下: | 工具名称 | 解决措施 | | “EternalBlue” | Addressed by MS17-010 | | “EmeraldThread” | Addressed by MS10-061 | | “EternalChampion” | Addressed by CVE-2017-0146 & CVE-2017-0147 | | “ErraticGopher” | Addressed prior to the release of Windows Vista | | “EsikmoRoll” | Addressed by MS14-068 | | “EternalRomance” | Addressed by MS17-010 | | “EducatedScholar” | Addressed by MS09-050 | | “EternalSynergy” | Addressed by MS17-010 | | “EclipsedWing” | Addressed by MS08-067
|
为了保证系统的安全性,我们建议您关闭【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。
针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下: a:未修复之前截图如下: 
b:修复操作如下:禁止windows共享,卸载下图两个组件(此操作的目的是禁止445端口) 
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)
c:禁止netbios(此操作的目的是禁止137,139端口) 
重启后我们看到137,139,445端口全部关闭。 
2017-4-16 00:35 上传下载附件[size=0.83em]
d:关闭远程智能卡(此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用) | 
[复制链接]
发表于 2017-4-26 08:22
|
发表于 2017-4-26 09:45
