标准化排查——僵尸网络

标准化排查——僵尸网络

一、问题现象

1、安全状态提示有僵尸主机

2、查杀僵尸网络病毒

3、没有僵尸网络日志

二、问题场景/模块排查思维导图

三、排查步骤

1. 确认基本配置：

a) 僵尸网络规则库是否最新版本

b) 僵尸网络策略是否记录日志，区域和IP是否配置正确

c) 确认全局排除是否关联需要防护的IP地址

2. 收集日志：截图或导出相关的僵尸网络日志提供给处理工程师

3. 基本病毒查杀：

a) 使用NGAF反僵尸网络软件进行查杀

b) 使用第三方查杀工具进行查杀

c) 工具下载链接：http://sec.sangfor.com.cn/apt

d) 注意事项：删除文件之前需备份

4. 排除代理：

a) 僵尸网络配置-高级配置-排除域名或IP，对代理设备地址进行排除

5. 开启恶意域名重定向：

a) 僵尸网络配置-高级配置-启用恶意域名重定向

6. 收集环境信息：

a) 网络拓扑信息

b) 目前受到影响的业务系统信息

7. 僵尸网络策略验证：

a) 测试教程：http://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=24668&highlight=

b) 测试工具下载地址：http://www.ntester.cn/

转400处理包含的信息

版本：

现象确认：

排错步骤:

1、确认基本配置（是/否/没有检查）

2、基本病毒查杀（是/否/没有测试）

3、业务类型：

4、排除代理（是/否/没有测试）

5、开启恶意域名重定向（是/否/没有测试）

PS：服务我们只提供标准、专业的，
此贴专人维护，有建议欢迎回复，谢谢！

标准化排查-僵尸网络v1.pdf (207.91 KB, 下载次数: 171)

2017-9-10 17:38 上传

点击文件名下载附件

僵尸网络用火绒可以完全杀掉吗

僵尸网络用火绒可以完全杀掉吗

为楼主点赞，希望楼主多多分享干货！

厉害，够详细，努力学习

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!