V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Toools
V2EX  ›  云计算

腾讯 2008 香港 生产服务器被植入不明文件,求大神分析下 附上样本

  •  
  •   Toools · 2018-03-13 10:53:58 +08:00 · 4667 次点击
    这是一个创建于 2472 天前的主题,其中的信息可能已经有所发展或是发生改变。

    腾讯 win2008 香港

    关于安全这块

    1. 3389 端口早已经改 5 位数,密码 18 位数 自己都记不住的那种

    2.限制计算机名登录

    3.只开放 80 (其他 135 139 445 高危都早已关

    1. 只放了 静态的 html 单页 站 (所以排除网站被黑情况 )

    刚刚也是 突然发现 进程多了 几个, win_agent-plug1.exe , win_agent-plug5.exe 这样的进程

    于是排查 发现

    C:\Program Files (x86)\WinAgent 有这样的目录纯在,这几个进程在这文件夹中

    其中 看了下 win_agent-plug1.exe 这样的文件 数字签名 为 tencent 腾讯 Tencent Technology(Shenzhen) Company Limited

    问了 tx 客服 说不是他们的,

    (腾讯 香港 2008 64 位 目前服务器也没任何异常,CPU,流量,内存 都正常 )

    此 WinAgent 文件夹中 有日志文件,会不定时自动生成

    (其中有个日志,是 2016 年生成的,奇怪了,我服务器 18 年 1 月才买 小弟不太懂,文件夹已经打包 这个不知道是马,还是什么脚本,做什么用途 肯请大佬分析

    (此文件夹 NOD32 扫描无毒) 整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe

    以下直接附上里面的部分文件 代码

    文件 task.json

    内容如下

    { "Permanent" : [ { "content" : "global -i wa_monitor_agent_res\ndownload -f MonitorAgentRes.vbs -m bd6ed7b78fdb6573d93ba2c5a5802c61\nexec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json\n", "global_id" : "wa_monitor_agent_res", "last_exec" : "exec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json", "md5" : "545f34e2952fddc26aed6d4e92918169" } ] }

    =============================

    文件 net_onino_clont.json 内容如下

    "net_main_conn" : { "host" : [ { "ip" : "172.27.32.105", "port" : 9988, "weight" : 0 }, { "ip" : "10.137.128.209", "port" : 9988, "weight" : 0 }, { "ip" : "10.208.159.149", "port" : 9988, "weight" : 0

    。。。。。。。。。

    ==============================================

    MonitorAgentRes.vbs 文件内容如下

    mem_exceed_count=0

    cpu_exceed_count=0

    Randomize Time() Id=Int(Rnd()*100000000) strComputer ="."
    TmpStrJsonToOut="" TmpData="" strJsonToOut="{" _ &Chr(&H22)&"jsonrpc"&Chr(&H22)&":"&Chr(&H22)&"2.0"&Chr(&H22)&"," _ &Chr(&H22)&"method"&Chr(&H22)&":"&chr(&H22)&"ReportWinResInfo"&Chr(&H22)&"," _ &Chr(&H22)&"params"&Chr(&H22)&":{}," _ &Chr(&H22)&"id"&Chr(&H22)&":1" _ &"}"

    Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")

    While 1

    Set colProcess = objWMIService.ExecQuery( _ "Select * " _ & "from Win32_PerfFormattedData_PerfProc_Process " _ & "where Name ='WinAgent'" _ )
    TmpStrJsonToOut=""

    MemUsed=0

    CpuUsed=0

    NeedExit=False

    For Each objItem in colProcess

    MemUsed=objItem.WorkingSetPrivate
    
    CpuUsed=objItem.PercentProcessorTime
    
    If MemUsed/1024/1024>40 Then
    	mem_exceed_count=mem_exceed_count+1
    ElseIf(mem_exceed_count>0) Then 
    	mem_exceed_count=mem_exceed_count-1
    End If  
    
    If CpuUsed>20 Then
    	cpu_exceed_count=cpu_exceed_count+1
    ElseIf(cpu_exceed_count>0) Then 
    	cpu_exceed_count=cpu_exceed_count-1
    End If
    
    If  mem_exceed_count>=12 Or cpu_exceed_count>=12 Then
    
    	TmpStrJsonToOut=strJsonToOut
    
    	TmpStrJsonToOut=Replace(TmpStrJsonToOut,":1",(":"&Id))
    
    	Id=Id+1
    	
    	strDataTime=Now()
    	
    	strDataTime=replace(strDataTime,"/","-")
    	
    	strDataTime=replace(strDataTime," ","%20")
    
    	TmpData="{" _
    	& Chr(&H22) & "time" & Chr(&H22) & ":" & Chr(&H22) & strDataTime & Chr(&H22) & "," _
    	& Chr(&H22) & "cpu_usage" & Chr(&H22) & ":" & objItem.PercentProcessorTime & "," _
    	& Chr(&H22) & "mem_usage" & Chr(&H22) & ":" & objItem.WorkingSetPrivate _
    	& "}"
    
    	TmpStrJsonToOut=Replace(TmpStrJsonToOut,"{}",TmpData) 
    
    	WScript.StdOut.Write TmpStrJsonToOut 
    	WScript.Sleep 5000
    	Set oShell=CreateObject("Wscript.Shell")
    	oShell.Exec "taskkill /f /pid " & objItem.IDProcess
    	NeedExit=True
    End If
    

    Next

    If NeedExit Then WScript.Quit 0

    If colProcess.count<=0 Then WScript.Quit

    Set colProcess=Nothing

    WScript.Sleep 5000

    wend

    整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe
    (希望大佬帮分析,谢谢, 这些东东 到底是在做什么,如果是腾讯云自己的,我就当没事,可能是他们自己的监控, 如果是其他,那这些文件 他要做什么事情? 会干些什么

    9 条回复    2018-03-13 13:55:26 +08:00
    Toools
        1
    Toools  
    OP
       2018-03-13 10:57:21 +08:00
    [2018-3-12 20:45:23.656][ INFO][ ][onion_log.cpp@@196] -------------------------------------------------
    [2018-3-12 20:45:23.656][ INFO][ ][onion.cpp@@85] Agent version: 80107
    [2018-3-12 20:45:23.656][ INFO][ ][updater.cpp@@31] Updater cleans old update files...
    [2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@40] Updater will start after: 3069s
    [2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@96] Updater Thread enter:
    [2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent
    [2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\config
    [2018-3-12 20:45:24.500][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\log
    [2018-3-12 20:45:24.765][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGIN
    [2018-3-12 20:45:24.937][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGINTASK
    [2018-3-12 20:45:25.140][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task
    [2018-3-12 20:45:25.343][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p
    [2018-3-12 20:45:25.546][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p\545f34e2952fddc26aed6d4e92918169
    [2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\t
    [2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\temp
    [2018-3-12 20:45:25.921][ INFO][ ][onion.cpp@@29] Current module dir: C:\Program Files (x86)\WinAgent
    [2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@10] Base::Message::init
    [2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@118] InitThreadPool
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
    [2018-3-12 20:45:25.953][ INFO][ ][manager.cpp@@38] Net manager initialize
    [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@52] Net Logger init successfully.
    [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@71] Net manager creates thread successfully.
    [2018-3-12 20:45:25.968][ INFO][ ][net.cpp@@29] create conn...
    [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@174] [Net manager] ThreadProxy
    [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@181] [Net manager thread] starts
    [2018-3-12 20:45:25.984][ INFO][ ][config.cpp@@12] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loading
    [2018-3-12 20:45:26.234][ INFO][ ][config.cpp@@34] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loaded
    [2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@109] Net manager SafeStartConn
    [2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@112] [Net manager] config:
    [Net manager] ProxyType:0
    [Net manager] LifeTime:a8c0
    [Net manager] Path:C:\Program Files (x86)\WinAgent\config/net_onion_client.json
    [Net manager] RootName:net_main_conn
    [Net manager] Hosts:
    [Net manager] 0: (172.27.32.105,2704)
    [Net manager] 1: (10.137.128.209,2704)
    [Net manager] 2: (10.208.159.149,2704)
    [Net manager] 3: (10.134.13.207,2704)
    [Net manager] 4: (10.128.185.41,2704)
    [Net manager] 5: (10.215.159.152,2704)
    [Net manager] 6: (10.223.159.150,2704)
    [Net manager] 7: (10.151.16.149,2704)
    [Net manager] 8: (10.205.93.146,2704)
    [Net manager] 9: (10.212.31.151,2704)
    [Net manager] a: (10.173.159.148,2704)
    [Net manager] b: (10.169.225.12,2704)
    [Net manager] c: (10.170.31.140,2704)
    [Net manager] d: (219.133.50.100,2704)
    [Net manager] e: (183.61.54.139,2704)
    [Net manager] f: (183.57.51.139,2704)
    [Net manager] 10: (101.226.68.166,2704)
    [Net manager] 11: (111.161.104.100,2704)
    [Net manager] 12: (10.182.52.49,2704)
    [Net manager] 13: (10.190.48.53,2704)
    [Net manager] 14: (10.252.230.13,2704)
    [Net manager] 15: (10.53.192.14,2704)
    [Net manager] 16: (10.243.128.159,2704)
    [Net manager] 17: (10.116.43.69,2704)
    [Net manager] 18: (10.106.208.16,2704)
    [Net manager] 19: (10.106.208.20,2704)
    [Net manager] 1a: (10.106.80.16,2704)
    [Net manager] 1b: (169.254.0.34,2704)
    [Net manager] 1c: (169.254.0.35,2704)
    [Net manager] 0: (183.61.54.139,2704)
    [Net manager] 1: (183.57.51.139,2704)
    [Net manager] 2: (219.133.50.100,2704)
    [Net manager] 3: (111.161.104.100,2704)
    [Net manager] 4: (101.226.68.166,2704)

    [2018-3-12 20:45:26.234][DEBUG][ ][onion_client.cpp@@21] COnionClient init
    [2018-3-12 20:45:26.234][ INFO][ ][net.cpp@@40] async create conn done
    [2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@143] Load plugin as C:\Program Files (x86)\WinAgent\plugin\*.exe
    [2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug1.exe
    [2018-3-12 20:45:26.265][DEBUG][ ][manager.cpp@@229] Manager ConnectionHandler
    [2018-3-12 20:45:26.265][DEBUG][ ][proto.cpp@@59] proto callback OnOpenConn
    [2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@72] Open conn from new ip list (local)
    [2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@232] host list size: 5
    [2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@244] net manager try connect ip: 183.61.54.139 (HO):b73d368b (NO):8b363db7
    [2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@245] net manager try connect port: 9988
    [2018-3-12 20:45:26.296][ INFO][ ][proto.cpp@@251] net manager connect: 183.61.54.139:9988 successfully
    [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@311] IP: 10.144.113.95 (HO):a90715f (NO):5f71900a
    [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@331] Local IP: IP: 10.144.113.95 (HO):a90715f (NO):5f71900a
    [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@332] Local Mac: 52 54 00 06 04 56
    [2018-3-12 20:45:26.312][ INFO][ ][default_session.cpp@@100] ==========> SendInitSKeyPacket
    [2018-3-12 20:45:26.328][DEBUG][ ][default_session.cpp@@112] InitDhParam successfully
    [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@118] Agent PubicKey:2D63A304FEE7E0621DC6F1065352B16D3CE64E7DB73BA237EF0F395CE5AFD1C8E1B7EE3357F9C31674AACBA80C6B310DA639F29D7C462C04E4B337565E2A2DFB
    [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@119] Session key:
    [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@120] 07 fb 13 08 ab cf b5 81 7d 05 ab 61 5e 58 37 9c
    [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@121] GenSKey successfully
    [2018-3-12 20:45:26.593][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug2.exe


    部分日志 如上
    f2f2f
        2
    f2f2f  
       2018-03-13 10:58:49 +08:00
    脚本看着像虚机内的资源监控,监控超标进程自动 kill 的
    Toools
        3
    Toools  
    OP
       2018-03-13 11:04:37 +08:00
    @f2f2f 谢谢大神分析
    mokeyjay
        4
    mokeyjay  
       2018-03-13 11:12:17 +08:00
    既然有腾讯的签名,那肯定是腾讯的啊
    ihacku
        5
    ihacku  
       2018-03-13 11:21:32 +08:00
    这个是腾讯云自己的 agent
    udev
        6
    udev  
       2018-03-13 11:32:16 +08:00
    刚 120 活动薅了三年,尝试安装了 2008,发现系统不支持自定义镜像,无法安装纯净版,只能用公共 2008 镜像,然后有腾讯的东西:
    C:\Program Files\QCloud
    C:\Program Files\QCloud 的目录

    2016/11/08 17:22 <DIR> .
    2016/11/08 17:22 <DIR> ..
    2017/04/16 09:44 <DIR> bginfo
    2016/07/06 18:39 <DIR> QCloudService
    2016/09/12 11:06 4,767,744 virtio_64_1.0.8_09121107.msi
    1 个文件 4,767,744 字节
    4 个目录 33,972,002,816 可用字节

    C:.
    │ virtio_64_1.0.8_09121107.msi

    ├─bginfo
    │ Bginfo.exe
    │ bg_config.bgi
    │ get_meta.exe
    │ instance_id.txt
    │ public_ip.txt
    │ start.bat

    └─QCloudService
    │ QCloud.ini
    │ QCloudService.exe

    ├─log
    │ report.log

    └─tools
    kicker.exe

    初步体验:

    1、默认桌面用了第三方的 bginfo,会把一些基础信息,比如计算机名,IP,网卡等写在桌面上(腾讯竟然用第三方小工具?);
    2、C 盘根目录有几个日志文件,用了 WMI 修改计算名,是通过控制台页面传递来的 name 值;
    3、不仅注册了服务,还注册了驱动,驱动显示是腾讯的,作用大概是操作 IP 地址,因为有个 EIP 随时切的功能;
    4、1 天的检测中尚未发现可疑的外联;
    5、不知道能否卸载掉 Qcloud 服务以及驱动?谁尝试过;
    6、过两天装回 CentOS7 ;

    楼主说的看起来就是腾讯的 EIP 切换器!
    tencentcloud
        7
    tencentcloud  
       2018-03-13 11:40:34 +08:00
    @Toools 楼主您好,我们已经收到您的反馈。看到您提交了工单,已协调专家为您核实处理,您可以在工单补充相关信息,感谢您的支持。
    Toools
        8
    Toools  
    OP
       2018-03-13 12:51:59 +08:00
    问题已经解决,感谢各位
    这个是腾讯云提供的安全组件,老版本的,目前已经下线了
    gpw1987
        9
    gpw1987  
       2018-03-13 13:55:26 +08:00
    看你这防护那么严密,理论上是不应该出现这样的问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4089 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 05:27 · PVG 13:27 · LAX 21:27 · JFK 00:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.