本帖最后由 SSEC 于 2017-6-14 11:22 编辑
客户名称:河南某学校
事件类型:病毒木马事件
问题主机情况:操作系统上多了一个账号无法删除。
服务器系统:Windows
数据库:mysql 5.5.24
事件排查过程:
服务器上多了piress账号,客户从未创建过次账号,同时,改账号怎么都删除不掉。
查看恶意用户,发现用户最好发现的时间为9月13日,9月13日以前的日志已经被系统覆盖。
查询piress账号可以得知,该账号是由于MYSQL漏洞导致服务器被入侵,植入cna12.dll的病毒导致,中毒症状为服务器多出一个piress账号。服务器中搜索cna12.dll,发现确实在mysql目录下。 cna12.dll一般出现于Mysql数据安装目录中的\lib\plugin\目录中,一般正常情况下为Mysql数据库服务器中的数据文件。
正常的cna12.dll文件的MD5和SHA1值为:
MD5: 460d0a6eb90805409bead8e8eee01e49
SHA1: 9a3e5877779c47ce58bf7bb77b426c13a704e93e
检测是否是木马病毒的方法就是使用MD5计算程序计算文件的MD5,并且和上面的值进行比较就可以得出结果再进行相应的查杀工作。
360查杀,发现cna12.dll文件确实已经被感染。
将病毒文件上传至virustotal进行查杀,发现确实为病毒。
猜测,是由于mysql的bug引起的。MYSQL有一个bug,如下:
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。
受影响的版本:
All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.
该版本的mysql为5.5.24,不存在该安全问题。
在服务器中查看mysql数据库连接文件,使用了弱密码导致了系统入侵,攻击者通过扫描到mysql弱口令等取得mysql的root后,运行mysql client的任何command,进而就可以读取mysql server所在电脑的文件,然后上传木马病毒等恶意操作。
最后删除用户的方法如下:
(1).重新启动电脑,在电脑自检的时候按F8,进入“带有命令提示符的安全模式”或者直接
进入“安全模式“。
(2).在登录时,选择你自己的账户进行登录,一般是你自己起的名字,或者是叫“Administrator”,有密码的,输入密码。
(3).如果能成功完成第二步,基本上就宣布成功了:成功登录以后,会有一个黑色的框框,
在里面输入“explore” 回车,这时会有个提示,但不用管他,直接选择“是”。这时就会看到桌面、开始菜单出来了。
(4).在桌面右键选择“我的电脑”、选择“管理”,在“本地用户和组”里选择用户,这时候会看见你自己的账户以及那个piress账户。直接右键点击它,选择删除!确定!电脑重新启动即可。 |