应急响应

今天接到了内网的检测服务器告警，检测到我的主机对外扫描445端口 本次监测使用了2台基于VMware ESXi架构的虚拟服务器，IP及系统架构如下 10.16.11.51 CentOS7【监测机】 10.16.11.15 Windows Server 2008 R2【诱捕机】 脚本编写脚本使用Python3编写，运行于CentOS7虚拟机（10.16.11.51）上，由于感染后的机器特征为向外部扫描445端口，如下图所示 脚本编写思路为监听445端口，如有连接即写入文件并记录连接IP代码如下 # 服务器import socketimport threadingimport time# 处理客户端请求# 监听任意地址IP_ADDRESS = '0.0.0.0'# 记录的文件名FILENAME = 'log.txt'# 监听端口PORT = 445def printalert(string): print('\033[1;31m ' + string + ' \033[0m')def...

接到个单子，网站被挂博彩 客户机器环境 服务器系统：CentOS 7 服务器管理面板：宝塔 CMS：织梦CMS V57 SP2 过程向客户了解情况后，登录了服务器进行检查，发现历史执行过的命令有些异常，系统帐号被添加了admin，用户组为admin，向客户确认后为客户所执行，帐号非客户所添加 网络检查随后执行了netstat -anutlp对当前连接进行了检查，无异常，初步判定没有被留远控 SSH检查对SSH配置文件、SSH应用程序进行了检查， SSH程序正常 SSH配置文件发现被设置了ssh...

几天前接到一家网络教育公司的应急请求，总结下。 症状服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种，由于CrySiS家族采用AES+RSA的加密方式，目前尚无私钥流出，因此目前无法解密。 涉及到的客户资产 主机名：WIN-HOXXXXXIG 服务器IP：182.XXX.XXX.119 操作系统：Windows Server 2008 R2 Enterprise 过程由于之前发生过多起勒索+挖矿攻击事件，因此首先对客户机器的状况进行检测 系统状况检查CPU、内存、网络占用率均为正常水平，无挖矿行为痕迹 系统进程检查经过wmic 命令获取进程信息及procexp...