|
接到客户消息说中勒索病毒了,虽然买的是VPN不是防火墙,但还是要帮他处理一下。
1、首先看到文件被加密了,文件名后缀为bigbosshorse,加密时间为2019/11/23 17:11。
2、Decryption里面就是勒索信息。
3、向客户了解到这台服务器并不对外提供服务,那能入侵的方法就不多了,然后我们用 netstat -ano 看服务器开启了哪些端口,可以看到445,3389这些高危端口都是开放的。
4、再看服务器系统,这是个2008R2的服务器
6、虽然服务器没有打补丁,我们需要判断服务器是否存在这个漏洞,一个简单的方法就是运行CMD,输入WMIC BIOS get releasedate,检查日期为2017-03-12之后的操作系统已经默认修复了该漏洞不需再覆盖修复,说明被加密的服务器是不存在该漏洞的。
7、查看服务器安全日志看能不能有什么发现,运行eventvmr.msc打开事件查看器,先看windows日志里的安全日志,这里主要是看登录日志,因为忘了拍照我截了一张自己电脑的图,可以看到审核成功对应的是登录成功的事件ID4624,审核失败对应事件ID4625,如果日志中短时间内有大量登录行为,那么极有可能是有人在爆破服务器密码。
8、即使在日志中发现一个登录成功日志,怎么知道是管理员登录的还是黑客登录的呢?在【应用程序】-【Microsoft-Windows】-【TerminalServices-RemoteConnectionManager】下,打开Operational,筛选当前日志,事件ID1149,可以看到RDP连接的源地址。
9、查看IP对应地区,多为外地登录,说明服务器密码泄露。
10、查看防火墙配置,发现服务器远程桌面被映射到公网,所以说话术并不是忽悠客户的。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-12-30 20:42
技术员2级 
