【每日一记】第19天:记录下处理AF安全告警过程

今天上午来到公司和往常一样先收取邮件，发现有个告警信息。

登录查看

进入日志分析

      告警提示有gh0st入侵，Gh0st是一种在互联网上被广泛传播的远控木马家族，因为其源代码开放，所以有各种五花八门的变种和改进版本，大灰狼是其中影响力较大的一个变种家族。

      Gh0st/大灰狼都由控制端和被控端两部分组成，通常是由黑客在CC主机上运行控制端，并监听一个通讯端口，然后释放出被控端程序，再将被控端程序通过各种手段植入到中招的“肉鸡”上运行，肉鸡主动请求控制端的监听端口建立连接上线。

   

      根据AF告警时间段，下载该时间段的数据包进行分析。

确实有发现疑似异常连接的IP

解析数据包，发现只有一个请求，然后就被返回400关闭了

分析请求包，结合网上百度的相关木马信息，看到有关该木马的特征值。

      Gh0st的通讯完全遵循C/S模型，使用TCP承载的私有协议。但是攻击者发送的我司目标服务器为web服务80端口，所以服务器拒绝了请求，并回复了400的响应码，随后关闭了连接。但服务器未曾植入cc控制端，所以并没有大量的通信连接，只是有外部尝试连接。

最后确认无影响了手动关闭了告警

      总结：AF通过识别 magic number gh0st 提示可能受到入侵，报警符合数据包分析结论，提醒各位工程师日常关注AF上的业务告警还是非常有必要的。

gh0st原理参考连接：https://www.freebuf.com/articles/paper/167917.html