记一次个人PC被攻击事件

0x01[攻击发现]

• 在写博客的时候，突然火绒接连弹出几个警报

• 然后我在短暂的惊愕后，果断拔掉了笔记本的网线，首先说明我的网络状况

  • 连接的是学校电信提供的网络，需要插网线
  • 用深澜客户端进行登陆

• 个人PC被攻击这种事对我来说属实是少见至极，在拔网线后，我猜测了一下攻击者的渗透路线

  • 爆破了Sqlserver
  • 利用Sqlserver函数调用powershell

0x02[日志查看]

• 首先登陆SQLserver管理器查看日志
  
• 看到了一个来自重庆的IP

• 然后调用了xp_cmdshell
• 查看火绒导出的日志

• 火绒日志并未将命令显示完全，可能是直接被拦截了
• 根据初步分析，那家伙准备base64多重编码绕DF调Powershell
• 由于命令显示不全，在解码后只得到了一部分的内容，没法找到最里层的信息，猜测是打算弹SHELL

0x03[防护加固]

• 修改sqlserver密码，且只允许本地连接
• 排查后门文件

SQLserverManager15.msc
# 15对应SQLserver 2019
# 10对应SQLserver 2008

• 在IP地址设置中，将127.0.0.1或者::1的已启用项修改为是，其他的修改为否

• 重启SQLserver默认实例服务
• 根据日志提示寻找后门文件，发现找不到，应该是被清除了，然后查看是否有存储过程

• SQLserver日志被清理了，反正我是没找到那个时间段的内容，根据网上内容似乎没法查询SQL语句日志(希望懂的师傅能留言教教我)

0x04[经验总结]

• 首先是WindowsDF的相关网络防御在接入公共网络的时候尽量开启(我是关闭状态)
• 条件允许的情况下，受到攻击可以直接拔网线(Hhhh,虽然Low但是有效)
• 木马文件最好不要直接删除，我这里被火绒清理掉后，导致我没法溯源
• 即使是个人PC，也有可能让相关服务失陷于弱口令