|
网络拓扑:出口AD下方AF AC使用透明以及网桥部署,下接核心
客户问题描述:1.8号,某市某公司用户反馈,上网很慢,往外ping包延迟很大,这个问题最先反馈到了某当地渠道,当地渠道技术去了后,反馈说跳过AC后上网正常,希望来排查一下
事件排查:1.11号,到了现场后,由于已经跳过AC,跟客户协商后,把AC还原,发现网络正常,询问客户出现问题时间,正常排查后,查看黑匣子,发现8号上午9点ETH3口(内网口)接收包为5000左右(见图一) 晚上9点左右的接收包为14w左右,大了接近30倍(见图二) 由于当天没有发现断网情况,故在开启防DOS后,约定周一把安全感知平台拿过来测试。 1.14上午把SIP正常上架后,刚上架,就发现了很多的问题,操作的电脑就有问题,直接进行查杀,
, 然后去看服务器的问题,总共27台服务器,发现11台都有挖矿病毒,在安全感知平台上查看事件后,进行排查(此截图取自另一个SIP,现场的忘了截,先从别的地方截一张) 大约连接了300多次矿池,排查进程后发现,Syste64.exe的进程十分可疑,占用CPU一直保持在80%占用,如下图 使用TCPView查看进程,如下图 看到这个进程的目的地址、端口和SIP爆出的矿池地址很相似,把地址扔到微步跑一遍,可以看出,这是个矿池
查看文件路径,路径为C:\Windows\fonts\Systes64.exe文件,按照网上方法,并没有打开这个文件夹,直接进行了删除,删除后,查看Autoruns查看内容,没有异常,查看启动项以及计划任务,没有发现异常,排查windows安全事件,发现,记录有被删除的痕迹,而且潜伏期很久,没有看出是什么时候中的,是一件很遗憾的事情,删除文件后,CPU恢复正常,重启两次后,又进行了一次排查后,没有发现异常,SIP最后活跃时间也已经在删除文件那一刻 总结:总得来说这个病毒隐藏的不够深,而且没有很复杂的设置,所以简单排查,即可轻松找到病毒所在 建议: 1. 定期更换服务器登陆口令,且口令强度为13位以上,同时包含大小写字母、数字、特殊符号。 2. 限制远程登陆权限为内网用户,不要对公网开放或者映射远程登陆端口。3.建议安装杀毒软件,这次发现问题的服务器,全部没有安装杀毒软件4.为服务器打永恒MS17-010漏洞补丁
PS:第一次写这种文章,做的不是很好,排查思路还有待改进,希望大家指出来,谢谢 | 
发表于 2022-4-3 22:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
