应急响应

今天接到了内网的检测服务器告警，检测到我的主机对外扫描445端口 本次监测使用了2台基于VMware ESXi架构的虚拟服务器，IP及系统架构如下 10.16.11.51 CentOS7【监测机】 10.16.11.15 Windows Server 2008 R2【诱捕机】 脚本编写脚本使用Python3编写，运行于CentOS7虚拟机（10.16.11.51）上，由于感染后的机器特征为向外部扫描445端口，如下图所示 脚本编写思路为监听445端口，如有连接即写入文件并记录连接IP代码如下 # 服务器import socketimport threadingimport time# 处理客户端请求# 监听任意地址IP_ADDRESS = '0.0.0.0'# 记录的文件名FILENAME = 'log.txt'# 监听端口PORT = 445def printalert(string): print('\033[1;31m ' + string + ' \033[0m')def prints ...

接到个单子，网站被挂博彩 客户机器环境 服务器系统：CentOS 7 服务器管理面板：宝塔 CMS：织梦CMS V57 SP2 过程向客户了解情况后，登录了服务器进行检查，发现历史执行过的命令有些异常，系统帐号被添加了admin，用户组为admin，向客户确认后为客户所执行，帐号非客户所添加 网络检查随后执行了netstat -anutlp对当前连接进行了检查，无异常，初步判定没有被留远控 SSH检查对SSH配置文件、SSH应用程序进行了检查， SSH程序正常 SSH配置文件发现被设置了ssh key 文件检测&日志分析文件检测由于客户机器上运行着4个站点，所以down了相关网站文件和日志，网站文件使用D盾进行了扫描，发现其中2个织梦CMS站点都被传了Shell shell路径 /m.xxx.com/anli/list_2.php/m.xxx.com/data/enums/bodytypes.php/m.xxx.com/data/module/moduleurllist.php/m.xxx.com/images/js/ui.core.php/m.xxx.co ...

几天前接到一家网络教育公司的应急请求，总结下。 症状服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种，由于CrySiS家族采用AES+RSA的加密方式，目前尚无私钥流出，因此目前无法解密。 涉及到的客户资产 主机名：WIN-HOXXXXXIG 服务器IP：182.XXX.XXX.119 操作系统：Windows Server 2008 R2 Enterprise 过程由于之前发生过多起勒索+挖矿攻击事件，因此首先对客户机器的状况进行检测 系统状况检查CPU、内存、网络占用率均为正常水平，无挖矿行为痕迹 系统进程检查经过wmic 命令获取进程信息及procexp 检查，除自启动勒索信息外，初步判定操作系统无异常进程 系统服务检查通过对系统服务进行检查，未发现恶意服务 系统启动项检查对操作系统相关位置进行检查后，除自启动勒索信息外，未发现恶意启动项 注册表除勒索信息外，注册表无异常启动项 启动项除勒索信息外，无异常启动项 计划任务除广告程序外，无异常计划任务 系统文件除勒索信息外，系统文件无异常，无Crysis家族释放的文件 系统账户检查在注册表 ...