2007-11-22 | 安全从点滴做起-记一次中马记 
无事登陆服务器,刚看到登陆界面,就出现了一个日志已满的对话框。感觉有点不对劲,查看日志:
从事件来源看:RedGirl 名称来看,已经不正常,系统正常的怎么会出现Girl事件来源呢,看来中马。
还是先查找来源吧,搜索近几日新建的文件,发现临时目录有多出 1.exe 文件:
先粗略的看一下文件的内容:
看来是一个下载者。并且配置信息没有加密,直接就显示在记事本里,从一些明文信息里我们可以猜测这个下载者会自动点击关闭一些主动防御软件的警告窗口,好的,现在我们先试下载
http://vipxz.dduw.com/1.exe
文件研究一下吧,看看写了哪些文件,好删除之。发现可以下载,看来还会有更多的人会种此马。先准备好工具:IceSword,Filemon 。先运一下IceSword看看有没有什么可疑进程,发现一个隐藏的IE进程,先终止之,以免再让他人非法控制。发现终止后短时间内未有新进程关联,证明无保护进程,好,现在开始测试已经下载好的程序,先打开 FileMon 工具,再运行 1.exe 文件:
好,发现1.exe 会自动创建自身副本到 C:\WINNT\System32\ 目录,新文件名是:NtCmds.exe 并且会自我删除。 找到安装的文件,我们删除就方便多了,在注册表里搜索 NtCmds.exe ,找到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribut
新建了:Distribut 服务启动项。文件和服务启动项删除之。
删除之后还不行啊,得知道是怎么回事。从文件安装日期,和近期服务器操作记录发现,当天在网站 www.mycodes.net 下载过 Serv-U 程序安装过,难道该程序捆绑有马?为了证实这一点,我决定再安装一次那天下载的程序测试:
先安装原版:ServU6405.exe ,开着FileMon监控发现:
出现在1.exe 文件,1.exe 文件内容和我们先前发现的1.exe 文件相同。一次中马的全过程终止搞明白了。看来很多大站的下载的文件已经被绑定了木马。希望大家已经下载安装软件时留个心眼,要从知名的软件下载站点下载。有时服务器设置的最安全,却因为小小的 疏忽大意而失荆州,真是让人深思。安全道理长又远,需要大家共同的努力。
从事件来源看:RedGirl 名称来看,已经不正常,系统正常的怎么会出现Girl事件来源呢,看来中马。
还是先查找来源吧,搜索近几日新建的文件,发现临时目录有多出 1.exe 文件:
先粗略的看一下文件的内容:
看来是一个下载者。并且配置信息没有加密,直接就显示在记事本里,从一些明文信息里我们可以猜测这个下载者会自动点击关闭一些主动防御软件的警告窗口,好的,现在我们先试下载
http://vipxz.dduw.com/1.exe
文件研究一下吧,看看写了哪些文件,好删除之。发现可以下载,看来还会有更多的人会种此马。先准备好工具:IceSword,Filemon 。先运一下IceSword看看有没有什么可疑进程,发现一个隐藏的IE进程,先终止之,以免再让他人非法控制。发现终止后短时间内未有新进程关联,证明无保护进程,好,现在开始测试已经下载好的程序,先打开 FileMon 工具,再运行 1.exe 文件:
好,发现1.exe 会自动创建自身副本到 C:\WINNT\System32\ 目录,新文件名是:NtCmds.exe 并且会自我删除。 找到安装的文件,我们删除就方便多了,在注册表里搜索 NtCmds.exe ,找到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribut
新建了:Distribut 服务启动项。文件和服务启动项删除之。
删除之后还不行啊,得知道是怎么回事。从文件安装日期,和近期服务器操作记录发现,当天在网站 www.mycodes.net 下载过 Serv-U 程序安装过,难道该程序捆绑有马?为了证实这一点,我决定再安装一次那天下载的程序测试:
先安装原版:ServU6405.exe ,开着FileMon监控发现:
出现在1.exe 文件,1.exe 文件内容和我们先前发现的1.exe 文件相同。一次中马的全过程终止搞明白了。看来很多大站的下载的文件已经被绑定了木马。希望大家已经下载安装软件时留个心眼,要从知名的软件下载站点下载。有时服务器设置的最安全,却因为小小的 疏忽大意而失荆州,真是让人深思。安全道理长又远,需要大家共同的努力。