进入日志分析
告警提示有gh0st入侵,Gh0st是一种在互联网上被广泛传播的远控木马家族,因为其源代码开放,所以有各种五花八门的变种和改进版本,大灰狼是其中影响力较大的一个变种家族。
Gh0st/大灰狼都由控制端和被控端两部分组成,通常是由黑客在CC主机上运行控制端,并监听一个通讯端口,然后释放出被控端程序,再将被控端程序通过各种手段植入到中招的“肉鸡”上运行,肉鸡主动请求控制端的监听端口建立连接上线。
根据AF告警时间段,下载该时间段的数据包进行分析。
确实有发现疑似异常连接的IP
解析数据包,发现只有一个请求,然后就被返回400关闭了
分析请求包,结合网上百度的相关木马信息,看到有关该木马的特征值。
Gh0st的通讯完全遵循C/S模型,使用TCP承载的私有协议。但是攻击者发送的我司目标服务器为web服务80端口,所以服务器拒绝了请求,并回复了400的响应码,随后关闭了连接。但服务器未曾植入cc控制端,所以并没有大量的通信连接,只是有外部尝试连接。
最后确认无影响了手动关闭了告警
总结:AF通过识别 magic number gh0st 提示可能受到入侵,报警符合数据包分析结论,提醒各位工程师日常关注AF上的业务告警还是非常有必要的。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
工程师2级 
