WannaMine蠕虫清理
今天接到了内网的检测服务器告警,检测到我的主机对外扫描445端口
本次监测使用了2台基于VMware ESXi架构的虚拟服务器,IP及系统架构如下
10.16.11.51 CentOS7【监测机】
10.16.11.15 Windows Server 2008 R2【诱捕机】
脚本编写脚本使用Python3编写,运行于CentOS7虚拟机(10.16.11.51)上,由于感染后的机器特征为向外部扫描445端口,如下图所示
脚本编写思路为监听445端口,如有连接即写入文件并记录连接IP代码如下
# 服务器import socketimport threadingimport time# 处理客户端请求# 监听任意地址IP_ADDRESS = '0.0.0.0'# 记录的文件名FILENAME = 'log.txt'# 监听端口PORT = 445def printalert(string): print('\033[1;31m ' + string + ' \033[0m')def prints ...
Linux应急响应
接到个单子,网站被挂博彩
客户机器环境
服务器系统:CentOS 7
服务器管理面板:宝塔
CMS:织梦CMS V57 SP2
过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加
网络检查随后执行了netstat -anutlp对当前连接进行了检查,无异常,初步判定没有被留远控
SSH检查对SSH配置文件、SSH应用程序进行了检查,
SSH程序正常
SSH配置文件发现被设置了ssh key
文件检测&日志分析文件检测由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell
shell路径
/m.xxx.com/anli/list_2.php/m.xxx.com/data/enums/bodytypes.php/m.xxx.com/data/module/moduleurllist.php/m.xxx.com/images/js/ui.core.php/m.xxx.co ...
勒索病毒应急响应
几天前接到一家网络教育公司的应急请求,总结下。
症状服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种,由于CrySiS家族采用AES+RSA的加密方式,目前尚无私钥流出,因此目前无法解密。
涉及到的客户资产
主机名:WIN-HOXXXXXIG
服务器IP:182.XXX.XXX.119
操作系统:Windows Server 2008 R2 Enterprise
过程由于之前发生过多起勒索+挖矿攻击事件,因此首先对客户机器的状况进行检测
系统状况检查CPU、内存、网络占用率均为正常水平,无挖矿行为痕迹
系统进程检查经过wmic 命令获取进程信息及procexp 检查,除自启动勒索信息外,初步判定操作系统无异常进程
系统服务检查通过对系统服务进行检查,未发现恶意服务
系统启动项检查对操作系统相关位置进行检查后,除自启动勒索信息外,未发现恶意启动项
注册表除勒索信息外,注册表无异常启动项
启动项除勒索信息外,无异常启动项
计划任务除广告程序外,无异常计划任务
系统文件除勒索信息外,系统文件无异常,无Crysis家族释放的文件
系统账户检查在注册表 ...