2016-01-10: 细节已通知厂商并且等待厂商处理中 2016-01-14: 厂商已经确认,细节仅向厂商公开 2016-01-24: 细节向核心白帽子及相关领域专家公开 2016-02-03: 细节向普通白帽子公开 2016-02-13: 细节向实习白帽子公开 2016-02-27: 细节向公众公开
RT
地址**.**.**.**:7001/存在“Java 反序列化”漏洞
直接上传木马到服务器中
whoamilenovo-otouvh81\administratornet user\\LENOVO-OTOUVH81 的用户帐户-------------------------------------------------------------------------------Administrator chens Guest guoyp yucy 命令成功完成。net share共享名 资源 注解-------------------------------------------------------------------------------C$ C:\ 默认共享 D$ D:\ 默认共享 E$ E:\ 默认共享 F$ F:\ 默认共享 IPC$ 远程 IPC ADMIN$ C:\Windows 远程管理 命令成功完成。net view服务器名称 注解-------------------------------------------------------------------------------\\BAKSERVER \\DQAJJGIS \\DQAJJKIS \\DQAJJSJK1 \\DQAJJSJK2 \\DQAJJWEB \\DQJSDB dqjsdb \\DQKJJWEB01 \\DQWSJ-445599F85 \\FGWWLK-E4CAA368 \\IBM \\LAWMISSERVER \\LENOVO-1 \\LENOVO-3 \\LENOVO-4D0QC276 \\LENOVO-5 \\LENOVO-58D8SG36 \\LENOVO-5OKKE7HB \\LENOVO-NEW2 \\LENOVO-O81TLATV \\LENOVO-OTOUVH81 \\LENOVO-P0HAMDVF \\MZJ \\USER-O8SVNQBN4F \\WIN-8TRESDJWT43 \\WIN-8VBMEFBFLU7 \\WIN-B31B50NQAG5 \\WIN-K42KKJ3VR1F \\WIN-K7AL9JP7R69 \\WIN-KJ4ZK7LUO7N \\WIN-L127L9J77LI \\WIN-P5LH9HKF0RJ \\WIN-V66CBBP7LIP \\WZ \\ZFCGZTB1 \\ZFCGZTB2 \\大庆会计网 命令成功完成。net start已经启动以下 Windows 服务: Application Experience Application Information Application Management Background Intelligent Transfer Service Base Filtering Engine Certificate Propagation COM+ Event System Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Diagnostic System Host Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Function Discovery Provider Host Group Policy Client Human Interface Device Access IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent KtmRm for Distributed Transaction Coordinator Network Connections Network List Service Network Location Awareness Network Store Interface Service Plug and Play Print Spooler Remote Access Connection Manager Remote Procedure Call (RPC) Secondary Logon Secure Socket Tunneling Protocol Service Security Accounts Manager Server Shell Hardware Detection SL UI Notification Service Software Licensing System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper Telephony Terminal Services Terminal Services Configuration Terminal Services UserMode Port Redirector TPM Base Services User Profile Service Windows Error Reporting Service Windows Event Log Windows Firewall Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Time Windows Update Workstation 主动防御命令成功完成。netstat -ano活动连接 协议 本地地址 外部地址 状态 PID TCP **.**.**.**:135 **.**.**.**:0 LISTENING 944 TCP **.**.**.**:445 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:3389 **.**.**.**:0 LISTENING 1084 TCP **.**.**.**:49152 **.**.**.**:0 LISTENING 628 TCP **.**.**.**:49153 **.**.**.**:0 LISTENING 332 TCP **.**.**.**:49154 **.**.**.**:0 LISTENING 532 TCP **.**.**.**:49155 **.**.**.**:0 LISTENING 720 TCP **.**.**.**:49156 **.**.**.**:0 LISTENING 1836 TCP **.**.**.**:49157 **.**.**.**:0 LISTENING 672 TCP **.**.**.**:7001 **.**.**.**:0 LISTENING 57068 TCP **.**.**.**:139 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:7001 **.**.**.**:0 LISTENING 57068 TCP **.**.**.**:7001 **.**.**.**:54269 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54270 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54271 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54272 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54273 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54274 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54275 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54276 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54277 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54278 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54279 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:54280 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:38099 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:38665 ESTABLISHED 57068 TCP **.**.**.**:7001 **.**.**.**:38672 ESTABLISHED 57068 TCP **.**.**.**:49746 **.**.**.**:1521 ESTABLISHED 57068 TCP **.**.**.**:49791 **.**.**.**:1521 ESTABLISHED 57068 TCP **.**.**.**:49800 **.**.**.**:139 TIME_WAIT 0 TCP **.**.**.**:61993 **.**.**.**:80 ESTABLISHED 3116 TCP **.**.**.**:63754 **.**.**.**:80 ESTABLISHED 3116 TCP [::]:135 [::]:0 LISTENING 944 TCP [::]:445 [::]:0 LISTENING 4 TCP [::]:3389 [::]:0 LISTENING 1084 TCP [::]:49152 [::]:0 LISTENING 628 TCP [::]:49153 [::]:0 LISTENING 332 TCP [::]:49154 [::]:0 LISTENING 532 TCP [::]:49155 [::]:0 LISTENING 720 TCP [::]:49156 [::]:0 LISTENING 1836 TCP [::]:49157 [::]:0 LISTENING 672 TCP [fe80::9de7:c590:429a:f0e7%10]:7001 [::]:0 LISTENING 57068 UDP **.**.**.**:123 *:* 544 UDP **.**.**.**:500 *:* 532 UDP **.**.**.**:4500 *:* 532 UDP **.**.**.**:5355 *:* 1084 UDP **.**.**.**:51211 *:* 3456 UDP **.**.**.**:51739 *:* 3456 UDP **.**.**.**:53264 *:* 3456 UDP **.**.**.**:53265 *:* 3456 UDP **.**.**.**:54333 *:* 3456 UDP **.**.**.**:54334 *:* 3456 UDP **.**.**.**:55739 *:* 3456 UDP **.**.**.**:58450 *:* 3456 UDP **.**.**.**:59703 *:* 57068 UDP **.**.**.**:61261 *:* 3456 UDP **.**.**.**:62158 *:* 3456 UDP **.**.**.**:62160 *:* 3456 UDP **.**.**.**:64615 *:* 3456 UDP **.**.**.**:137 *:* 4 UDP **.**.**.**:138 *:* 4 UDP [::]:123 *:* 544 UDP [::]:500 *:* 532 UDP [::]:5355 *:* 1084 UDP [::]:59703 *:* 57068tasklist /svc映像名称 PID 服务 ========================= ======== ============================================System Idle Process 0 暂缺 System 4 暂缺 smss.exe 512 暂缺 csrss.exe 584 暂缺 wininit.exe 628 暂缺 services.exe 672 暂缺 lsass.exe 720 SamSs lsm.exe 728 暂缺 svchost.exe 884 DcomLaunch, PlugPlay svchost.exe 944 RpcSs svchost.exe 332 Dhcp, EventLog, lmhosts svchost.exe 428 gpsvc svchost.exe 532 AeLookupSvc, Appinfo, AppMgmt, BITS, CertPropSvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, RasMan, Schedule, seclogon, SENS, SessionEnv, ShellHWDetection, Winmgmt, wuauserv SLsvc.exe 536 slsvc svchost.exe 544 EventSystem, fdPHost, LanmanWorkstation, netprofm, nsi, SLUINotify, SstpSvc, TBS, W32Time svchost.exe 556 hidserv, Netman, TrkWks, UmRdpService, UxSms, WdiSystemHost svchost.exe 1084 CryptSvc, Dnscache, KtmRm, NlaSvc, TermService, WinRM svchost.exe 1296 BFE, DPS, MpsSvc spoolsv.exe 1752 Spooler svchost.exe 1836 PolicyAgent svchost.exe 1900 WerSvc taskeng.exe 2588 暂缺 msdtc.exe 2904 MSDTC csrss.exe 2888 暂缺 winlogon.exe 2884 暂缺 taskeng.exe 664 暂缺 dwm.exe 2652 暂缺 explorer.exe 1316 暂缺 svchost.exe 3792 TapiSrv conime.exe 3812 暂缺 360rp.exe 3456 暂缺 360sd.exe 3116 暂缺 SLUI.exe 3216 暂缺 ZhuDongFangYu.exe 10128 ZhuDongFangYu 360Tray.exe 7668 暂缺 SoftMgrLite.exe 9292 暂缺 taskeng.exe 6900 暂缺 taskeng.exe 5920 暂缺 taskeng.exe 7428 暂缺 taskeng.exe 3204 暂缺 taskeng.exe 9148 暂缺 taskeng.exe 9856 暂缺 taskeng.exe 6348 暂缺 taskeng.exe 6404 暂缺 taskeng.exe 8928 暂缺 taskeng.exe 6428 暂缺 taskeng.exe 8824 暂缺 taskeng.exe 8200 暂缺 taskeng.exe 7560 暂缺 taskeng.exe 8924 暂缺 taskeng.exe 7556 暂缺 taskeng.exe 7088 暂缺 taskeng.exe 5212 暂缺 taskeng.exe 6520 暂缺 taskeng.exe 8252 暂缺 taskeng.exe 7064 暂缺 taskeng.exe 7120 暂缺 taskeng.exe 1160 暂缺 taskeng.exe 7512 暂缺 taskeng.exe 8720 暂缺 taskeng.exe 8412 暂缺 taskeng.exe 8620 暂缺 taskeng.exe 6280 暂缺 taskeng.exe 5684 暂缺 taskeng.exe 5884 暂缺 taskeng.exe 5660 暂缺 taskeng.exe 10096 暂缺 taskeng.exe 6372 暂缺 taskeng.exe 12092 暂缺 taskeng.exe 10280 暂缺 taskeng.exe 11980 暂缺 taskeng.exe 10604 暂缺 taskeng.exe 11636 暂缺 taskeng.exe 16740 暂缺 taskeng.exe 18448 暂缺 taskeng.exe 24308 暂缺 taskeng.exe 44628 暂缺 taskeng.exe 53332 暂缺 taskeng.exe 60996 暂缺 taskeng.exe 87144 暂缺 taskeng.exe 88960 暂缺 taskeng.exe 108468 暂缺 taskeng.exe 112528 暂缺 taskeng.exe 123480 暂缺 taskeng.exe 125628 暂缺 taskeng.exe 147972 暂缺 taskeng.exe 193920 暂缺 taskeng.exe 81700 暂缺 taskeng.exe 227648 暂缺 taskeng.exe 93584 暂缺 taskeng.exe 111572 暂缺 taskeng.exe 157284 暂缺 taskeng.exe 165604 暂缺 taskeng.exe 207700 暂缺 taskeng.exe 27372 暂缺 taskeng.exe 163060 暂缺 taskeng.exe 185292 暂缺 taskeng.exe 226368 暂缺 taskeng.exe 228692 暂缺 cmd.exe 45220 暂缺 csrss.exe 50972 暂缺 winlogon.exe 50824 暂缺 rdpclip.exe 50812 暂缺 LogonUI.exe 50720 暂缺 taskeng.exe 51952 暂缺 taskeng.exe 73840 暂缺 taskeng.exe 224792 暂缺 taskeng.exe 151332 暂缺 taskeng.exe 172696 暂缺 taskeng.exe 64880 暂缺 taskeng.exe 144624 暂缺 taskeng.exe 154816 暂缺 taskeng.exe 101960 暂缺 taskeng.exe 44380 暂缺 taskeng.exe 210404 暂缺 taskeng.exe 25188 暂缺 taskeng.exe 120672 暂缺 taskeng.exe 31684 暂缺 cmd.exe 54132 暂缺 java.exe 57068 暂缺 wlrmdr.exe 55912 暂缺 LogonUI.exe 60540 暂缺 taskeng.exe 138412 暂缺 taskeng.exe 142032 暂缺 taskeng.exe 18984 暂缺 tasklist.exe 158120 暂缺 WmiPrvSE.exe 161568 暂缺 ipconfig /allWindows IP 配置 主机名 . . . . . . . . . . . . . : Lenovo-OTOUVH81 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否以太网适配器 本地连接 2: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2 物理地址. . . . . . . . . . . . . : 00-15-17-A0-BC-61 DHCP 已启用 . . . . . . . . . . . : 是 自动配置已启用. . . . . . . . . . : 是以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration 物理地址. . . . . . . . . . . . . : 00-15-17-A0-BC-60 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::9de7:c590:429a:f0e7%10(首选) IPv4 地址 . . . . . . . . . . . . : **.**.**.**(首选) 子网掩码 . . . . . . . . . . . . : **.**.**.** 默认网关. . . . . . . . . . . . . : **.**.**.** DNS 服务器 . . . . . . . . . . . : **.**.**.** **.**.**.** TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 本地连接*: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : isatap.{DD35139D-47C7-4897-90B9-F199E711CF6F} 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 本地连接* 2: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 物理地址. . . . . . . . . . . . . : 02-00-54-55-4E-01 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 本地连接* 8: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : isatap.{395F5C14-2026-4ACC-A211-079E8D349EEE} 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是systeminfo主机名: LENOVO-OTOUVH81OS 名称: Microsoft? Windows Server? 2008 Enterprise OS 版本: 6.0.6001 Service Pack 1 Build 6001OS 制造商: Microsoft CorporationOS 配置: 独立服务器OS 构件类型: Multiprocessor Free注册的所有人: jsj101注册的组织: 产品 ID: 92516-082-2500885-76179初始安装日期: 2013/9/16, 18:08:55系统启动时间: 2014/11/4, 19:35:46系统制造商: Intel系统型号: Lenovo WQ r630g7系统类型: x64-based PC处理器: 安装了 4 个处理器。 [01]: Intel64 Family 6 Model 29 Stepping 1 GenuineIntel ~2136 Mhz [02]: Intel64 Family 6 Model 29 Stepping 1 GenuineIntel ~2136 Mhz [03]: Intel64 Family 6 Model 29 Stepping 1 GenuineIntel ~2403 Mhz [04]: Intel64 Family 6 Model 29 Stepping 1 GenuineIntel ~2136 MhzBIOS 版本: Intel Corporation SFC4UR.86B.01.00.0027.111820081348, 2008/11/18Windows 目录: C:\Windows系统目录: C:\Windows\system32启动设备: \Device\HarddiskVolume1系统区域设置: zh-cn;中文(中国)输入法区域设置: zh-cn;中文(中国)时区: (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐物理内存总量: 16,376 MB可用的物理内存: 12,463 MB页面文件: 最大值: 32,927 MB页面文件: 可用: 28,607 MB页面文件: 使用中: 4,320 MB页面文件位置: C:\pagefile.sys域: WORKGROUP登录服务器: \\LENOVO-OTOUVH81修补程序: 安装了 87 个修补程序。 [01]: KB2079403 [02]: KB2207566 [03]: KB2296011 [04]: KB2305420 [05]: KB2347290 [06]: KB2387149 [07]: KB2393802 [08]: KB2412687 [09]: KB2416469 [10]: KB2419640 [11]: KB2423089 [12]: KB2442962 [13]: KB2476490 [14]: KB2478657 [15]: KB2481109 [16]: KB2483185 [17]: KB2503665 [18]: KB2506014 [19]: KB2506212 [20]: KB2507618 [21]: KB2507938 [22]: KB2508272 [23]: KB2508429 [24]: KB2509553 [25]: KB2510581 [26]: KB2511455 [27]: KB2518863 [28]: KB2524375 [29]: KB2535512 [30]: KB2536275 [31]: KB2536276 [32]: KB2541763 [33]: KB2544893 [34]: KB2555917 [35]: KB948609 [36]: KB948610 [37]: KB949246 [38]: KB949247 [39]: KB950762 [40]: KB950974 [41]: KB951978 [42]: KB952004 [43]: KB952287 [44]: KB953733 [45]: KB954155 [46]: KB954459 [47]: KB955020 [48]: KB955302 [49]: KB956572 [50]: KB956802 [51]: KB958481 [52]: KB958483 [53]: KB958623 [54]: KB958624 [55]: KB958644 [56]: KB959426 [57]: KB960803 [58]: KB961501 [59]: KB967190 [60]: KB967723 [61]: KB968389 [62]: KB970238 [63]: KB971029 [64]: KB971657 [65]: KB972270 [66]: KB973507 [67]: KB973565 [68]: KB973687 [69]: KB973917 [70]: KB974318 [71]: KB974571 [72]: KB975467 [73]: KB975560 [74]: KB975562 [75]: KB978338 [76]: KB978542 [77]: KB978601 [78]: KB978886 [79]: KB979309 [80]: KB979482 [81]: KB979687 [82]: KB979688 [83]: KB979913 [84]: KB981322 [85]: KB982132 [86]: KB982799 [87]: KB983587网卡: 安装了 2 个 NIC。 [01]: Intel(R) PRO/1000 EB Network Connection with I/O Acceleration 连接名: 本地连接 启用 DHCP: 否 IP 地址 [01]: **.**.**.** [02]: fe80::9de7:c590:429a:f0e7 [02]: Intel(R) PRO/1000 EB Network Connection with I/O Acceleration 连接名: 本地连接 2 状态: 媒体连接已中断
加强安全意识
危害等级:高
漏洞Rank:12
确认时间:2016-01-14 14:39
CNVD确认并复现所述情况,已经转由CNCERT下发给黑龙江分中心,由其后续协调网站管理单位处置.
暂无
