服务器入侵分析20230118

经常收到一台Windows服务器的CPU资源爆满的告警
查看任务管理器里有几个可疑进程

QQ2019和Microsoft Office，我很清楚我没有安装过这两个程序，而且不可能占用那么高的负载
打开两个程序的所在目录
Microsoft Office进程所在文件：

QQ2019进程所在文件：

发现这两个文件的时间不一致，应该是两个不同时间入侵的病毒。
查看本机的进程连接，发现大量的访问其他公网IP的445请求

总共有181个连接

445端口是共享文档（SMB协议），非常危险，一般不暴露到公网
既然本机被当做肉鸡攻击他人的445端口，相比本机也是被攻击者用该漏洞入侵的
我检查一下本机哪些目录被共享出去了

发现服务被禁用（应该是攻击者拿下该服务器后，关闭了该漏洞防止被其他人拿下）

被禁用的服务有：Server、Computer Browser
启动以上两个服务后，再次查看已被共享出去的目录

发现所有磁盘和默认共享都被攻击者共享了。也就是说攻击者拿下权限后，可以任意修改全盘资料。
关闭默认共享：

net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete

再次检查共享，已清空

已知任务管理器里该进程（Microsoft Office）为木马程序，得到该进程的PID为80248
（在任务管理器里右键，勾选PID可在管理器里显示进程的PID号）

通过pid查找这个进程在和哪个IP通信

可知该IP应该就是黑客的木马控制端了125.211.218.8:5555

检查服务器文件，发现本机之前安装过火绒安全软件


但是此时安全软件并未运行，且被破坏