×

【2022争霸赛*干货满满】某客户服务器区被入侵排查分析
  

xzywlx 1871人觉得有帮助

{{ttag.title}}
本帖最后由 xzywlx 于 2022-9-28 15:47 编辑

分享一个比较久的一个排查分析案例,图片翻出来的不是很清晰,勉强看看


【问题现象】
客户内网在服务器区域有部署防火墙,反馈有服务器中了病毒,有业务系统被入侵了,导致部分业务受影响
987916333f6efab27e.png


【问题处理过程】
根据从客户侧了解到的情况,首先登录防火墙查看业务风险日志,检测到存在入侵行为接下来找到对应IP查看安全日志,该服务器在客户反馈前就有僵尸网络威胁,动作是允许的
429926333f7c955e86.png

发现匹配的策略是用户防护策略,未匹配到业务防护策略的拦截。
837816333f886e847b.png

3、查看安全防护策略,发现用户防护策略中动作是允许的,且地址中包含了服务
器地址,导致匹配了第一条用户策略被放通了
287916333f95c21e33.png


【问题原因】
通过以上分析得出结论为安全防护策略配置原因导致没有起到防护作用。

【解决方案】
1、优化安全防护策略,调整业务防护策略的位置以及修改防护策略的动作为拒绝; 建议客户后期上 EDR,给服务器安装 EDR 客户端进行防护。
497496333fb1e60c5c.png


2、策略优化后威胁动作已正常拦截
954336333fb7c87be2.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

七嘴八舌bar 发表于 2022-10-8 17:53
  
专家点评:感谢楼主分享,文章分享了一例服务器失陷AF排查过程,思路清晰,总结到位,期待楼主后续带来更多有价值的案例分享。
tianjt 发表于 2022-9-29 07:57
  
步骤很详细,容易学习,谢谢分享!
平凡的小网工 发表于 2022-9-29 10:54
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
沧海 发表于 2022-9-29 13:57
  
步骤很详细,思路清晰,谢谢分享!
Mr程 发表于 2022-10-4 12:01
  

楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
新手486484 发表于 2022-11-23 11:54
  
讲述很详细,步骤很仔细!
发表新帖
热门标签
全部标签>
每日一问
技术笔记
GIF动图学习
干货满满
产品连连看
「智能机器人」
技术咨询
功能体验
专家分享
技术圆桌
畅聊IT
标准化排查
信服课堂视频
新版本体验
技术争霸赛
安装部署配置
S豆商城资讯
答题自测
网络基础知识
运维工具
信服圈儿
专家问答
在线直播
SDP百科
MVP
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任

本版版主

396
128
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人