腾讯 win2008 香港

关于安全这块

3389 端口早已经改 5 位数，密码 18 位数自己都记不住的那种

2.限制计算机名登录

3.只开放 80 （其他 135 139 445 高危都早已关

只放了静态的 html 单页站（所以排除网站被黑情况）

刚刚也是突然发现进程多了几个， win_agent-plug1.exe , win_agent-plug5.exe 这样的进程

于是排查发现

C:\Program Files (x86)\WinAgent 有这样的目录纯在，这几个进程在这文件夹中

其中看了下 win_agent-plug1.exe 这样的文件数字签名为 tencent 腾讯 Tencent Technology(Shenzhen) Company Limited

问了 tx 客服说不是他们的，

（腾讯香港 2008 64 位目前服务器也没任何异常，CPU，流量，内存都正常）

此 WinAgent 文件夹中有日志文件，会不定时自动生成

（其中有个日志，是 2016 年生成的，奇怪了，我服务器 18 年 1 月才买小弟不太懂，文件夹已经打包这个不知道是马，还是什么脚本，做什么用途肯请大佬分析

（此文件夹 NOD32 扫描无毒）整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe

以下直接附上里面的部分文件代码

文件 task.json

内容如下

{ "Permanent" : [ { "content" : "global -i wa_monitor_agent_res\ndownload -f MonitorAgentRes.vbs -m bd6ed7b78fdb6573d93ba2c5a5802c61\nexec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json\n", "global_id" : "wa_monitor_agent_res", "last_exec" : "exec -f cscript.exe -t 0 -a "MonitorAgentRes.vbs" -c json", "md5" : "545f34e2952fddc26aed6d4e92918169" } ] }

=============================

文件 net_onino_clont.json 内容如下

"net_main_conn" : { "host" : [ { "ip" : "172.27.32.105", "port" : 9988, "weight" : 0 }, { "ip" : "10.137.128.209", "port" : 9988, "weight" : 0 }, { "ip" : "10.208.159.149", "port" : 9988, "weight" : 0

。。。。。。。。。

==============================================

MonitorAgentRes.vbs 文件内容如下

mem_exceed_count=0

cpu_exceed_count=0

Randomize Time() Id=Int(Rnd()*100000000) strComputer ="."
TmpStrJsonToOut="" TmpData="" strJsonToOut="{" _ &Chr(&H22)&"jsonrpc"&Chr(&H22)&":"&Chr(&H22)&"2.0"&Chr(&H22)&"," _ &Chr(&H22)&"method"&Chr(&H22)&":"&chr(&H22)&"ReportWinResInfo"&Chr(&H22)&"," _ &Chr(&H22)&"params"&Chr(&H22)&":{}," _ &Chr(&H22)&"id"&Chr(&H22)&":1" _ &"}"

Set objWMIService = GetObject("winmgmts://" & strComputer & "/root/cimv2")

While 1

Set colProcess = objWMIService.ExecQuery( _ "Select * " _ & "from Win32_PerfFormattedData_PerfProc_Process " _ & "where Name ='WinAgent'" _ )
TmpStrJsonToOut=""

MemUsed=0

CpuUsed=0

NeedExit=False

For Each objItem in colProcess

MemUsed=objItem.WorkingSetPrivate

CpuUsed=objItem.PercentProcessorTime

If MemUsed/1024/1024>40 Then
	mem_exceed_count=mem_exceed_count+1
ElseIf(mem_exceed_count>0) Then 
	mem_exceed_count=mem_exceed_count-1
End If  

If CpuUsed>20 Then
	cpu_exceed_count=cpu_exceed_count+1
ElseIf(cpu_exceed_count>0) Then 
	cpu_exceed_count=cpu_exceed_count-1
End If

If  mem_exceed_count>=12 Or cpu_exceed_count>=12 Then

	TmpStrJsonToOut=strJsonToOut

	TmpStrJsonToOut=Replace(TmpStrJsonToOut,":1",(":"&Id))

	Id=Id+1
	
	strDataTime=Now()
	
	strDataTime=replace(strDataTime,"/","-")
	
	strDataTime=replace(strDataTime," ","%20")

	TmpData="{" _
	& Chr(&H22) & "time" & Chr(&H22) & ":" & Chr(&H22) & strDataTime & Chr(&H22) & "," _
	& Chr(&H22) & "cpu_usage" & Chr(&H22) & ":" & objItem.PercentProcessorTime & "," _
	& Chr(&H22) & "mem_usage" & Chr(&H22) & ":" & objItem.WorkingSetPrivate _
	& "}"

	TmpStrJsonToOut=Replace(TmpStrJsonToOut,"{}",TmpData) 

	WScript.StdOut.Write TmpStrJsonToOut 
	WScript.Sleep 5000
	Set oShell=CreateObject("Wscript.Shell")
	oShell.Exec "taskkill /f /pid " & objItem.IDProcess
	NeedExit=True
End If

If NeedExit Then WScript.Quit 0

If colProcess.count<=0 Then WScript.Quit

Set colProcess=Nothing

WScript.Sleep 5000

wend

整个目录完整链接: https://pan.baidu.com/s/1DqQBVT8l8l6V70HOl7cTjA 密码: phwe
（希望大佬帮分析，谢谢，这些东东到底是在做什么，如果是腾讯云自己的，我就当没事，可能是他们自己的监控，如果是其他，那这些文件他要做什么事情？会干些什么

Toools

2018-03-13 10:57:21 +08:00

[2018-3-12 20:45:23.656][ INFO][ ][onion_log.cpp@@196] -------------------------------------------------
[2018-3-12 20:45:23.656][ INFO][ ][onion.cpp@@85] Agent version: 80107
[2018-3-12 20:45:23.656][ INFO][ ][updater.cpp@@31] Updater cleans old update files...
[2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@40] Updater will start after: 3069s
[2018-3-12 20:45:24.468][ INFO][ ][updater.cpp@@96] Updater Thread enter:
[2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent
[2018-3-12 20:45:24.484][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\config
[2018-3-12 20:45:24.500][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\log
[2018-3-12 20:45:24.765][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGIN
[2018-3-12 20:45:24.937][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\PLUGINTASK
[2018-3-12 20:45:25.140][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task
[2018-3-12 20:45:25.343][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p
[2018-3-12 20:45:25.546][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\p\545f34e2952fddc26aed6d4e92918169
[2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\t
[2018-3-12 20:45:25.921][DEBUG][ ][onion.cpp@@124] Privilege flush C:\Program Files (x86)\WinAgent\task\temp
[2018-3-12 20:45:25.921][ INFO][ ][onion.cpp@@29] Current module dir: C:\Program Files (x86)\WinAgent
[2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@10] Base::Message::init
[2018-3-12 20:45:25.937][ INFO][ ][msg.cpp@@118] InitThreadPool
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.937][DEBUG][ ][msg.cpp@@158] MesssageLoop
[2018-3-12 20:45:25.953][ INFO][ ][manager.cpp@@38] Net manager initialize
[2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@52] Net Logger init successfully.
[2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@71] Net manager creates thread successfully.
[2018-3-12 20:45:25.968][ INFO][ ][net.cpp@@29] create conn...
[2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@174] [Net manager] ThreadProxy
[2018-3-12 20:45:25.968][ INFO][ ][manager.cpp@@181] [Net manager thread] starts
[2018-3-12 20:45:25.984][ INFO][ ][config.cpp@@12] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loading
[2018-3-12 20:45:26.234][ INFO][ ][config.cpp@@34] config file C:\Program Files (x86)\WinAgent\config/net_onion_client.json loaded
[2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@109] Net manager SafeStartConn
[2018-3-12 20:45:26.234][ INFO][ ][manager.cpp@@112] [Net manager] config:
[Net manager] ProxyType:0
[Net manager] LifeTime:a8c0
[Net manager] Path:C:\Program Files (x86)\WinAgent\config/net_onion_client.json
[Net manager] RootName:net_main_conn
[Net manager] Hosts:
[Net manager] 0: (172.27.32.105,2704)
[Net manager] 1: (10.137.128.209,2704)
[Net manager] 2: (10.208.159.149,2704)
[Net manager] 3: (10.134.13.207,2704)
[Net manager] 4: (10.128.185.41,2704)
[Net manager] 5: (10.215.159.152,2704)
[Net manager] 6: (10.223.159.150,2704)
[Net manager] 7: (10.151.16.149,2704)
[Net manager] 8: (10.205.93.146,2704)
[Net manager] 9: (10.212.31.151,2704)
[Net manager] a: (10.173.159.148,2704)
[Net manager] b: (10.169.225.12,2704)
[Net manager] c: (10.170.31.140,2704)
[Net manager] d: (219.133.50.100,2704)
[Net manager] e: (183.61.54.139,2704)
[Net manager] f: (183.57.51.139,2704)
[Net manager] 10: (101.226.68.166,2704)
[Net manager] 11: (111.161.104.100,2704)
[Net manager] 12: (10.182.52.49,2704)
[Net manager] 13: (10.190.48.53,2704)
[Net manager] 14: (10.252.230.13,2704)
[Net manager] 15: (10.53.192.14,2704)
[Net manager] 16: (10.243.128.159,2704)
[Net manager] 17: (10.116.43.69,2704)
[Net manager] 18: (10.106.208.16,2704)
[Net manager] 19: (10.106.208.20,2704)
[Net manager] 1a: (10.106.80.16,2704)
[Net manager] 1b: (169.254.0.34,2704)
[Net manager] 1c: (169.254.0.35,2704)
[Net manager] 0: (183.61.54.139,2704)
[Net manager] 1: (183.57.51.139,2704)
[Net manager] 2: (219.133.50.100,2704)
[Net manager] 3: (111.161.104.100,2704)
[Net manager] 4: (101.226.68.166,2704)

[2018-3-12 20:45:26.234][DEBUG][ ][onion_client.cpp@@21] COnionClient init
[2018-3-12 20:45:26.234][ INFO][ ][net.cpp@@40] async create conn done
[2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@143] Load plugin as C:\Program Files (x86)\WinAgent\plugin\*.exe
[2018-3-12 20:45:26.234][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug1.exe
[2018-3-12 20:45:26.265][DEBUG][ ][manager.cpp@@229] Manager ConnectionHandler
[2018-3-12 20:45:26.265][DEBUG][ ][proto.cpp@@59] proto callback OnOpenConn
[2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@72] Open conn from new ip list (local)
[2018-3-12 20:45:26.265][ INFO][ ][proto.cpp@@232] host list size: 5
[2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@244] net manager try connect ip: 183.61.54.139 (HO):b73d368b (NO):8b363db7
[2018-3-12 20:45:26.281][ INFO][ ][proto.cpp@@245] net manager try connect port: 9988
[2018-3-12 20:45:26.296][ INFO][ ][proto.cpp@@251] net manager connect: 183.61.54.139:9988 successfully
[2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@311] IP: 10.144.113.95 (HO):a90715f (NO):5f71900a
[2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@331] Local IP: IP: 10.144.113.95 (HO):a90715f (NO):5f71900a
[2018-3-12 20:45:26.296][ INFO][ ][conn.cpp@@332] Local Mac: 52 54 00 06 04 56
[2018-3-12 20:45:26.312][ INFO][ ][default_session.cpp@@100] ==========> SendInitSKeyPacket
[2018-3-12 20:45:26.328][DEBUG][ ][default_session.cpp@@112] InitDhParam successfully
[2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@118] Agent PubicKey:2D63A304FEE7E0621DC6F1065352B16D3CE64E7DB73BA237EF0F395CE5AFD1C8E1B7EE3357F9C31674AACBA80C6B310DA639F29D7C462C04E4B337565E2A2DFB
[2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@119] Session key:
[2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@120] 07 fb 13 08 ab cf b5 81 7d 05 ab 61 5e 58 37 9c
[2018-3-12 20:45:26.406][DEBUG][ ][default_session.cpp@@121] GenSKey successfully
[2018-3-12 20:45:26.593][ INFO][ ][plugin_manager.cpp@@166] Start plugin C:\Program Files (x86)\WinAgent\plugin\Win_Agent_Plug2.exe

部分日志如上

f2f2f

2018-03-13 10:58:49 +08:00

脚本看着像虚机内的资源监控，监控超标进程自动 kill 的

Toools

2018-03-13 11:04:37 +08:00

@f2f2f 谢谢大神分析

mokeyjay

2018-03-13 11:12:17 +08:00

既然有腾讯的签名，那肯定是腾讯的啊

ihacku

2018-03-13 11:21:32 +08:00

这个是腾讯云自己的 agent

udev

2018-03-13 11:32:16 +08:00

刚 120 活动薅了三年，尝试安装了 2008，发现系统不支持自定义镜像，无法安装纯净版，只能用公共 2008 镜像，然后有腾讯的东西：
C:\Program Files\QCloud
C:\Program Files\QCloud 的目录

2016/11/08 17:22 <DIR> .
2016/11/08 17:22 <DIR> ..
2017/04/16 09:44 <DIR> bginfo
2016/07/06 18:39 <DIR> QCloudService
2016/09/12 11:06 4,767,744 virtio_64_1.0.8_09121107.msi
1 个文件 4,767,744 字节
4 个目录 33,972,002,816 可用字节

C:.
│ virtio_64_1.0.8_09121107.msi
│
├─bginfo
│ Bginfo.exe
│ bg_config.bgi
│ get_meta.exe
│ instance_id.txt
│ public_ip.txt
│ start.bat
│
└─QCloudService
│ QCloud.ini
│ QCloudService.exe
│
├─log
│ report.log
│
└─tools
kicker.exe

初步体验：

1、默认桌面用了第三方的 bginfo，会把一些基础信息，比如计算机名，IP，网卡等写在桌面上（腾讯竟然用第三方小工具？）；
2、C 盘根目录有几个日志文件，用了 WMI 修改计算名，是通过控制台页面传递来的 name 值；
3、不仅注册了服务，还注册了驱动，驱动显示是腾讯的，作用大概是操作 IP 地址，因为有个 EIP 随时切的功能；
4、1 天的检测中尚未发现可疑的外联；
5、不知道能否卸载掉 Qcloud 服务以及驱动？谁尝试过；
6、过两天装回 CentOS7 ；

楼主说的看起来就是腾讯的 EIP 切换器！

腾讯 2008 香港 生产服务器被植入不明文件，求大神分析下 附上样本

文件 task.json

文件 net_onino_clont.json 内容如下

腾讯 2008 香港生产服务器被植入不明文件，求大神分析下附上样本