2.1服务器排查
登录服务器被勒索服务器后,服务器的文件全部被加密成了.SATANA后缀结尾的加密文件,无法打开。如下图。
勒索病毒的勒索信息如下,此勒索病毒确认为GlobeImposter勒索病毒变种,该勒索病毒变种主要通过RDP爆破进行传播
查看被加密的服务器日志,发现服务器在凌晨存在大量被暴力破解记录
查询服务器最早被加密时间为7:37
在windows日志中搜索4624事件号,根据被加密时间,找到爆破登录时间点日志
爆破成功登陆时间点为7:34,与被加密时间吻合,查询到爆破源为85.15.124.216这台外网IP
登录类型为10,为RDP的3389远程登录
通过微步情报网站查询此IP为俄罗斯的动态IP
查看被勒索服务器开放端口,对外开放了445、3389等危险端口
通过查看客户出口防火墙策略,发现此服务器被出口防火墙将3389端口映射到公网,方便远程运维。且并未做对应封堵策略,或爆破防护策略。遭到来自公网85.15.124.216爆破登录并注入勒索病毒
登陆另一台被加密服务器查看windows日志,发现并没有爆破的痕迹,是直接被上一台被入侵的服务器登陆过。
根据了解此服务器的用户名密码被保存再了上一台服务器中,判断出黑客通过入侵上一台服务器后当跳板机,直接对其注入勒索病毒
查看这台服务器依然开放了445、3389等开放端口
3. 系统中存在安全隐患
1.客户机开放了135、445、3389等高危端口,并映射到公网且未做相应封堵策略。
2.其他主机的登陆信息被直接保存在服务器中,造成连带失陷
4. 安全加固和改进建议
1、重新安装操作系统。关闭相应端口映射并做封堵策略。
2、利用NSA免疫工具关闭135,137,139,445等端口。
3、 重装服务器之后修改管理员密码,确保密码复杂度,建议使用VPN登录3389远程登录。
4、 安装终端杀毒软件。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-11-10 19:21
技术员3级 
