今天中午,补天网站无法正常访问,kook给我打来电话让我看一眼。
我看了下发现网站无法正常打开,遂登录服务器查看。
arp -a 发现网关MAC地址发生变化(老检查了一眼就发现异常),因为正好之前更换了IP地址,所以原来做的arp -s脚本临时没启用。
立即
arp -s 网关ip 网关mac
arp -s 自己ip 自己mac
再查看,发现已经正常。
问题解决,但不能放过这小子。
祭起cain,网段扫描了一下,根据MAC和IP分别排序,立刻找到问题机器。
电话联系机房,找到那台服务器,要来了密码,开始帮助处理问题。
登录上去后,发现系统安装SQL等服务,但没装杀毒软件等。
arp -a 发现大量列表记录,问题肯定在这里了。
下载安装超级巡警AST,检查进程,最先发现一个问题
c:\windows\svchost.exe
大家注意svchost.exe如果是系统文件,是在system32目录下的,不在windows目录下的。
这个有问题,用ast查杀木马,没有查到问题。
杀掉svchost.exe进程,arp -a 看记录,发现恢复正常。
重新再运行,发现又不正常,再次杀掉,确认是这个家伙在搞ARP
继续。
进程中发现一个sb进程 C:\WINDOWS\Exsplorer.exe
仔细看看名字有什么不同。
从补天下载nod32安装,设置好升级服务器。重启。
重启后登录服务器,系统报告,c:\windows\exsplorer.exe - a variant of Win32/BlackHole 木马
NOD32果然很强大。
随即干掉,再次祭起超级巡警,仔细查看进程和开机加载程序。
发现开机系统以服务方式加载exsplorer.exe 和svchost.exe 这两个已经干掉了。
同时还有一个DLL也被加载了。C:\WINDOWS\system32\CryptWan.dll
网上查了一下没发现啥结果,估计得往坏处想。
继续检查发现
Wirelerss Zero Configuration 服务被替换成"C:\WINDOWS\Exsplorer.exe" /service
另有一个
Offices Sourcecz 服务 内容是 C:\WINDOWS\system32\svchost.exe -k netsvrcz
目前我还不知道这是什么玩意但是怀疑有问题。
于是停止该服务,发现该服务迅速重新启动起来了。
从补天下载 icesword 想看看系统进程有没啥异常,发现icesword无法启动。
报告驱动无法加载,那么最有可能的情况是 系统中存在木马,木马阻止了icesword的启动。
运气不错,AST可以运行。
继续,发现C:\WINDOWS\system32\winlogon.exe 进程被挂接了两个模块
一个是 C:\WINDOWS\system32\CryptWan.dll
一个是 c:\windows\system32\netsvrcz.dll
看来都不是啥好东西
我想这就可以解释 为什么 Offices Sourcecz 服务 会自动启动了。
尝试干掉,干掉失败。
仔细查,发现一个svchost.exe进程 加载了c:\windows\system32\netsvrcz.dll
立即干掉,再看winlogon,只剩下CryptWan.dll模块了。
继续干,失败。重启吧,这种情况下,
因为我已经把开机加载部分调用CryptWan.dll的那部分删掉了。
重启,运气不错,那个cryptwan.dll 和 netsvrcz.dll都没有被加载。但是多了一个。
syterm.dll
一个svchost.exe正在调用 syterm.dll
一看名字,觉得又是一个SB程序。
随即干掉。
仔细检查。
发现原来另一个服务被替换,没有发现
NetMeeting Remote Desktop Shar 服务,调用C:\WINDOWS\system32\svchost.exe -k Syterm
干掉,TMD。
没发现异常。
至此 基本问题解决。
继续查一下系统帐号,发现guest帐号处于启用状态,但仍然在GUESTS组里,有问题。
不放心,找了mt.exe
mt.exe -chkuser
发现果然administrator帐号被克隆。TMD这鸟人。累不累。
好了现在干掉。
http://www.patching.net/bbs/viewdoc_64020_1.html