这是一个创建于 2964 天前的主题,其中的信息可能已经有所发展或是发生改变。
腾讯 win2008 香港
关于安全这块
- 3389 端口早已经改 5 位数,密码 18 位数 自己都记不住的那种
2.限制计算机名登录
3.只开放 80 (其他 135 139 445 高危都早已关
- 只放了 静态的 html 单页 站 (所以排除网站被黑情况 )
刚刚也是 突然发现 进程多了 几个, win_agent-plug1.exe , win_agent-plug5.exe 这样的进程
于是排查 发现
C:\Program Files (x86)\WinAgent 有这样的目录纯在,这几个进程在这文件夹中
其中 看了下 win_agent-plug1.exe 这样的文件 数字签名 为 tencent 腾讯 Tencent Technology(Shenzhen) Company Limited
问了 tx 客服 说不是他们的,
(腾讯 香港 2008 64 位 目前服务器也没任何异常,CPU,流量,内存 都正常 )
此 WinAgent 文件夹中 有日志文件,会不定时自动生成
(其中有个日志,是 2016 年生成的,奇怪了,我服务器 18 年 1 月才买 小弟不太懂,文件夹已经打包 这个不知道是马,还是什么脚本,做什么用途 肯请大佬分析
(此文件夹 NOD32 扫描无毒) 整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe
以下直接附上里面的部分文件 代码
文件 task.json
内容如下
{ "Permanent" : [ { "content" : "global -i wa_monitor_agent_res\ndownload -f MonitorAgentRes.vbs -m bd6ed7b78fdb6573d93ba2c5a5802c61\nexec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json\n", "global_id" : "wa_monitor_agent_res", "last_exec" : "exec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json", "md5" : "545f34e2952fddc26aed6d4e92918169" } ] }
=============================
文件 net_onino_clont.json 内容如下
"net_main_conn" : { "host" : [ { "ip" : "172.27.32.105", "port" : 9988, "weight" : 0 }, { "ip" : "10.137.128.209", "port" : 9988, "weight" : 0 }, { "ip" : "10.208.159.149", "port" : 9988, "weight" : 0
。。。。。。。。。
==============================================
MonitorAgentRes.vbs 文件内容如下
mem_exceed_count=0
cpu_exceed_count=0
Randomize Time() Id=Int(Rnd()*100000000) strComputer ="."
TmpStrJsOnToOut="" TmpData="" strJsOnToOut="{" _ &Chr(&H22)&"jsonrpc"&Chr(&H22)&":"&Chr(&H22)&"2.0"&Chr(&H22)&"," _ &Chr(&H22)&"method"&Chr(&H22)&":"&chr(&H22)&"ReportWinResInfo"&Chr(&H22)&"," _ &Chr(&H22)&"params"&Chr(&H22)&":{}," _ &Chr(&H22)&"id"&Chr(&H22)&":1" _ &"}"
Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")
While 1
Set colProcess = objWMIService.ExecQuery( _ "Select * " _ & "from Win32_PerfFormattedData_PerfProc_Process " _ & "where Name ='WinAgent'" _ )
TmpStrJsOnToOut=""
MemUsed=0
CpuUsed=0
NeedExit=False
For Each objItem in colProcess
MemUsed=objItem.WorkingSetPrivate CpuUsed=objItem.PercentProcessorTime If MemUsed/1024/1024>40 Then mem_exceed_count=mem_exceed_count+1 ElseIf(mem_exceed_count>0) Then mem_exceed_count=mem_exceed_count-1 End If If CpuUsed>20 Then cpu_exceed_count=cpu_exceed_count+1 ElseIf(cpu_exceed_count>0) Then cpu_exceed_count=cpu_exceed_count-1 End If If mem_exceed_count>=12 Or cpu_exceed_count>=12 Then TmpStrJsOnToOut=strJsonToOut TmpStrJsOnToOut=Replace(TmpStrJsonToOut,":1",(":"&Id)) Id=Id+1 strDataTime=Now() strDataTime=replace(strDataTime,"/","-") strDataTime=replace(strDataTime," ","%20") TmpData="{" _ & Chr(&H22) & "time" & Chr(&H22) & ":" & Chr(&H22) & strDataTime & Chr(&H22) & "," _ & Chr(&H22) & "cpu_usage" & Chr(&H22) & ":" & objItem.PercentProcessorTime & "," _ & Chr(&H22) & "mem_usage" & Chr(&H22) & ":" & objItem.WorkingSetPrivate _ & "}" TmpStrJsOnToOut=Replace(TmpStrJsonToOut,"{}",TmpData) WScript.StdOut.Write TmpStrJsonToOut WScript.Sleep 5000 Set oShell=CreateObject("Wscript.Shell") oShell.Exec "taskkill /f /pid " & objItem.IDProcess NeedExit=True End If Next
If NeedExit Then WScript.Quit 0
If colProcess.count<=0 Then WScript.Quit
Set colProcess=Nothing
WScript.Sleep 5000
wend
整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe
(希望大佬帮分析,谢谢, 这些东东 到底是在做什么,如果是腾讯云自己的,我就当没事,可能是他们自己的监控, 如果是其他,那这些文件 他要做什么事情? 会干些什么
 | 1 Toools OP [2018-3-12 20:45:23.656][ INFO][ ][onion_log.cpp@@196] ------------------------------------------------- [2018-3-12 20:45:23.656][ INFO][ ][onion.cpp@@85] Agent version: 80107 [2018-3-12 20:45:23.656][ INFO][ ][updater.cpp@@31] Updater cleans old update files... [2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@40] Updater will start after: 3069s [2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@96] Updater Thread enter: [2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent [2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\config [2018-3-12 20:45:24.500][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\log [2018-3-12 20:45:24.765][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGIN [2018-3-12 20:45:24.937][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGINTASK [2018-3-12 20:45:25.140][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task [2018-3-12 20:45:25.343][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p [2018-3-12 20:45:25.546][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p\545f34e2952fddc26aed6d4e92918169 [2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\t [2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\temp [2018-3-12 20:45:25.921][ INFO][ ][onion.cpp@@29] Current module dir: C:\Program Files (x86)\WinAgent [2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@10] Base::Message::init [2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@118] InitThreadPool [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop [2018-3-12 20:45:25.953][ INFO][ ][manager.cpp@@38] Net manager initialize [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@52] Net Logger init successfully. [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@71] Net manager creates thread successfully. [2018-3-12 20:45:25.968][ INFO][ ][net.cpp@@29] create conn... [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@174] [Net manager] ThreadProxy [2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@181] [Net manager hread] starts [2018-3-12 20:45:25.984][ INFO][ ][config.cpp@@12] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loading [2018-3-12 20:45:26.234][ INFO][ ][config.cpp@@34] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loaded [2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@109] Net manager SafeStartConn [2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@112] [Net manager] config: [Net manager] ProxyType:0 [Net manager] LifeTime:a8c0 [Net manager] Path:C:\Program Files (x86)\WinAgent\config/net_onion_client.json [Net manager] RootName:net_main_conn [Net manager] Hosts: [Net manager] 0: (172.27.32.105,2704) [Net manager] 1: (10.137.128.209,2704) [Net manager] 2: (10.208.159.149,2704) [Net manager] 3: (10.134.13.207,2704) [Net manager] 4: (10.128.185.41,2704) [Net manager] 5: (10.215.159.152,2704) [Net manager] 6: (10.223.159.150,2704) [Net manager] 7: (10.151.16.149,2704) [Net manager] 8: (10.205.93.146,2704) [Net manager] 9: (10.212.31.151,2704) [Net manager] a: (10.173.159.148,2704) [Net manager] b: (10.169.225.12,2704) [Net manager] c: (10.170.31.140,2704) [Net manager] d: (219.133.50.100,2704) [Net manager] e: (183.61.54.139,2704) [Net manager] f: (183.57.51.139,2704) [Net manager] 10: (101.226.68.166,2704) [Net manager] 11: (111.161.104.100,2704) [Net manager] 12: (10.182.52.49,2704) [Net manager] 13: (10.190.48.53,2704) [Net manager] 14: (10.252.230.13,2704) [Net manager] 15: (10.53.192.14,2704) [Net manager] 16: (10.243.128.159,2704) [Net manager] 17: (10.116.43.69,2704) [Net manager] 18: (10.106.208.16,2704) [Net manager] 19: (10.106.208.20,2704) [Net manager] 1a: (10.106.80.16,2704) [Net manager] 1b: (169.254.0.34,2704) [Net manager] 1c: (169.254.0.35,2704) [Net manager] 0: (183.61.54.139,2704) [Net manager] 1: (183.57.51.139,2704) [Net manager] 2: (219.133.50.100,2704) [Net manager] 3: (111.161.104.100,2704) [Net manager] 4: (101.226.68.166,2704) [2018-3-12 20:45:26.234][DEBUG][ ][onion_client.cpp@@21] COnionClient init [2018-3-12 20:45:26.234][ INFO][ ][net.cpp@@40] async create conn done [2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@143] Load plugin as C:\Program Files (x86)\WinAgent\plugin\*.exe [2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug1.exe [2018-3-12 20:45:26.265][DEBUG][ ][manager.cpp@@229] Manager ConnectionHandler [2018-3-12 20:45:26.265][DEBUG][ ][proto.cpp@@59] proto callback OnOpenConn [2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@72] Open conn from new ip list (local) [2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@232] host list size: 5 [2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@244] net manager try connect ip: 183.61.54.139 (HO):b73d368b (NO):8b363db7 [2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@245] net manager try connect port: 9988 [2018-3-12 20:45:26.296][ INFO][ ][proto.cpp@@251] net manager connect: 183.61.54.139:9988 successfully [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@311] IP: 10.144.113.95 (HO):a90715f (NO):5f71900a [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@331] Local IP: IP: 10.144.113.95 (HO):a90715f (NO):5f71900a [2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@332] Local Mac: 52 54 00 06 04 56 [2018-3-12 20:45:26.312][ INFO][ ][default_session.cpp@@100] ==========> SendInitSKeyPacket [2018-3-12 20:45:26.328][DEBUG][ ][default_session.cpp@@112] InitDhParam successfully [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@118] Agent PubicKey:2D63A304FEE7E0621DC6F1065352B16D3CE64E7DB73BA237EF0F395CE5AFD1C8E1B7EE3357F9C31674AACBA80C6B310DA639F29D7C462C04E4B337565E2A2DFB [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@119] Session key: [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@120] 07 fb 13 08 ab cf b5 81 7d 05 ab 61 5e 58 37 9c [2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@121] GenSKey successfully [2018-3-12 20:45:26.593][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug2.exe 部分日志 如上 |
 | 2 f2f2f 2018 年 3 月 13 日 脚本看着像虚机内的资源监控,监控超标进程自动 kill 的 |
 | 4 mokeyjay 2018 年 3 月 13 日 既然有腾讯的签名,那肯定是腾讯的啊 |
 | 5 ihacku 2018 年 3 月 13 日 这个是腾讯云自己的 agent |
 | 6 udev 2018 年 3 月 13 日 刚 120 活动薅了三年,尝试安装了 2008,发现系统不支持自定义镜像,无法安装纯净版,只能用公共 2008 镜像,然后有腾讯的东西: C:\Program Files\QCloud C:\Program Files\QCloud 的目录 2016/11/08 17:22 <DIR> . 2016/11/08 17:22 <DIR> .. 2017/04/16 09:44 <DIR> bginfo 2016/07/06 18:39 <DIR> QCloudService 2016/09/12 11:06 4,767,744 virtio_64_1.0.8_09121107.msi 1 个文件 4,767,744 字节 4 个目录 33,972,002,816 可用字节 C:. │ virtio_64_1.0.8_09121107.msi │ ├─bginfo │ Bginfo.exe │ bg_config.bgi │ get_meta.exe │ instance_id.txt │ public_ip.txt │ start.bat │ └─QCloudService │ QCloud.ini │ QCloudService.exe │ ├─log │ report.log │ └─tools kicker.exe 初步体验: 1、默认桌面用了第三方的 bginfo,会把一些基础信息,比如计算机名,IP,网卡等写在桌面上(腾讯竟然用第三方小工具?); 2、C 盘根目录有几个日志文件,用了 WMI 修改计算名,是通过控制台页面传递来的 name 值; 3、不仅注册了服务,还注册了驱动,驱动显示是腾讯的,作用大概是操作 IP 地址,因为有个 EIP 随时切的功能; 4、1 天的检测中尚未发现可疑的外联; 5、不知道能否卸载掉 Qcloud 服务以及驱动?谁尝试过; 6、过两天装回 CentOS7 ; 楼主说的看起来就是腾讯的 EIP 切换器! |
 | 7 tencentcloud 2018 年 3 月 13 日 @Toools 楼主您好,我们已经收到您的反馈。看到您提交了工单,已协调专家为您核实处理,您可以在工单补充相关信息,感谢您的支持。 |
| 8 Toools OP 问题已经解决,感谢各位 这个是腾讯云提供的安全组件,老版本的,目前已经下线了 |
 | 9 gpw1987 2018 年 3 月 13 日 看你这防护那么严密,理论上是不应该出现这样的问题。 |
Select Language