本帖最后由 adds 于 2021-3-30 17:22 编辑
一、aCloud主机显示不正常1、 现象 超融合集群内有两个节点,其中一个节点状态显示异常,节点的CPU、内存都显示为空。
点击“实体机”进一步查看,也一样。
2、排查 a.查看集群告警 有显示主机ping不通网关,但跟显示是没有关系的。
b.32主机状态检查 主机接显示器,状态显示正常,且与33主控节点的通信正常。
c.检查组播
d.怀疑组播有问题 检查交换机配置,发现交换机并未配置组播抑制。
e.划分VLAN 将两台服务器和管理机的接口划到一个新的VLAN。
然后节点32的状态就显示正常了。
注:这里配置内存0%是因为没有在该节点上开启虚拟机导致的。
二、Wanna Mine 4.0处理 1、先打开系统,观察系统状态。
运行应该是正常的。
2、我们将wanna mine 4.0的病毒文件拷贝到虚拟机里。 双击运行。
运行后大概半分钟后,text.exe将会进行自删除。
3、排查 打开Process Hacker,发现有大批量扫描内网445端口的行为。
定位到问题进程:dllhostex.exe
打开文件所在文件夹,计算其文件MD5值。
将MD5值发送到X.threatbook.cn校验,显示是恶意网址。
在edr.sangfor.com.cn上校验。
将文件拷贝到有安装杀毒软件的系统,文件在拷贝过程中直接报毒,系统自动处理了。
4、处理 按照正常的处理步骤,结束进程,删文件。如果直接删除文件会报文件被系统占用,直接报错。
但是在结束进程、删除文件后,发现过了30秒左右,进程文件又自动运行,原来删除的文件又恢复了。
说明该进程开启了进程守护,即我结束该结束,父进程会再重新拉起该进程。
我们需要先定位到该进程的DLL文件,将其启动项删除,再结束父子进程,删除文件。
打到父进程。
使用pchunter定位该进程
分析其文件签名,找到有问题的DLL。
定位到问题项:
第三方网站验证 微步:
virustotal:
EDR:
说明这一项是误报,我们验证其另外一项:
在将其拷贝到另一个系统的过程中,直接被火绒查杀,可以确认有问题,为节约时间,不再进行第三方验证(正常来说应该验证)
删除applcationRPCClient.dll其启动项:
结束掉进程,dllhostex.exe、svchost.exe:
两个进程必须一起结束。
最后删除进程创建的文件夹和dllhostex.exe文件:
三、IIS服务关闭 在运行里输入:services.msc 找到World Wide Web系统服务,关闭即可。 |