码迷,mamicode.com
首页 > 其他好文 > 详细

两起应急总结

时间:2019-12-24 18:48:01      阅读:78      评论:0      收藏:0      [点我收藏+]

标签:net   现在   完全   项目   win   图片   查看进程   计划   结束   

上个月跑了两次应急响应,说是应急响应,其实都是小事件....本身也没应急的经验 权当学习了

#1 windows无盘系统被远控

客户反映正打开超管系统没一会,就被远控了,但并没有做什么操作,只是控制鼠标到处点点了一会,又改了一个盘符名字。接到需求时我还在想,现在的黑客都这么无聊了吗?

到现场操作如下

msconfig查看开机启动项,这里其实发现一个看起来很诡异的开机启动项,启动项目system,制造商未知,然后又是静默运行。结果检查了一下发现虽然看起来很不可信,但貌似是无盘系统供应商提供的某软件

查看进程,不过远控已经结束了,看了下进程也没看到很诡异的东西

netstat -ano 看外连情况

看计划任务(检查操作)

技术图片

 

 

看事件日志

看了一圈什么也没看出来,问大佬朋友,大佬让我下个autoruns看看wmi筛选器,下载完了需要重启。把外联什么的拍照,其他的备份了一下就重启了

结果重启之后发现弹出了一个叫xxxxx的软件自动启动,确实是无盘系统供应商出品的软件,但我仔细一看,它绑定启动了一个远控软件,这个远控软件也是无盘系统提供的。远控的客户端自动启动,自动等待连接....而且客户端弹出来的瞬间自动连接后又最小化到了托盘里,不仔细看或许都没有发现(应该就是为了超管能远控其他机器)

最关键的是,连接验证码是默认验证码:www.xxxx.com

让客户在旁边开了一台机器,操作该软件的server端连上来操作,客户一看表示那天被远控就是这个效果

至此问题就发现了,但客户表示不能修改关闭这个开机启动项,修改了连接默认码重启却依然是默认验证码,最后的解决方案是把软件默认勾选的自动连接给关闭了。

后记: 后来查了一下,很多网吧也用这种无盘系统,也有人表示因此被种了病毒

 

#2 打印机入侵事件

这个很简单,接到消息我就怀疑客户是把机器放在了外网,黑客要是进了内网光打印两张东西那不是太无聊了

过去拿到打印内容一看...

技术图片

 

 甚至还将请求打印出来了:外网地址+端口

打印机型号是hp打印机

而打印机系统9100端口开启时,若连上该端口通过PJL指令发送设备名称请求并得到打印机的响应,说明可以未授权访问打印机,PJL保护机制的密钥由2个字节(16比特)的存储单位存储,可以进行暴力破解攻击,从而得到目标打印机的完全访问权限。

解决方案:将打印机对外网的端口映射删除

两起应急总结

标签:net   现在   完全   项目   win   图片   查看进程   计划   结束   

原文地址:https://www.cnblogs.com/escape-w/p/12092887.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!