×

【排障那些事】我的客户被通报了
  

adds 89002人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2024-8-20 09:44 编辑

一、问题描述
1.1   客户接市级安全平台通报:
       监测发现市XX所属政务外网地址(*.*.*.5)对外发起扫描探测,存在安全隐患。建议对相关设备或系统进行隐患排查,避免攻击者利用失陷设备或系统做进一步攻击,详情请见验证情况。

二、处理过程
2.1  梳理现场环境
主机:*.*.*.5
操作系统:Windows Server 2008 R2 Etnerprise
行为表现:有对外发起扫描行为
2.2  系统监听端口
服务器有开启RDP、SMB等协议的高危服务端口。
2.3  系统安全日志排查
排查服务器有暴力破解日志:
再继续排查暴破成功日志:
2.4  查看用户
发现用户有在6月4日3时36分被修改过密码。依据时间判断是刚暴破成功后进行的操作,正常的用户不会凌晨登录系统去改密码。且后续登录时间也是凌晨,即前期先打点后续再接入。
2.5  杀毒
共查杀出4种病毒,其中syste64.exe是挖矿病毒;host.exe中电脑木马病毒,这是一个Downloader,能下载并运行黑客事先指定的文件;mz64.exe是一款黑客工具;masscan.exe是无状态端口扫描器。
扫开文件所在位置,可以看到大量的黑客工具,包含一个几十兆的Downloads.rar文件夹,查看该文件夹生成时间,发现为64438分,与被RDP暴破成功后时间吻合。

三、根因
       经过分析确定,客户服务器有开启RDP服务,且没有修改默认的3389端口,导致服务器遭受RDP攻击,并暴破成功取得服务器权限。之后机器被植入多种病毒,其中masscan.exe是一款端口扫描器工具,被上级通报的扫描行为即该款软件的攻击行为。


四、解决方案
4.1   对该主机进行全盘查杀,删除病毒文件;
4.2   对局域网内其他可能感染病毒的主机进行全盘查杀;
4.3   关闭非必要的高危的端口和服务;关闭网络共享服务或对共享文件做权限访问限制;
4.4   推进部署EDR,及时阻断病毒落地传播;
4.5   强密码认证。可以关闭RDP服务的关闭,不能关闭的开启强密码认证或限制源IP;
4.6  部署边界防火墙和区域防火墙,配置安全策略,防止暴破攻击或漏洞利用攻击;

五、建议与总结
5.1   建议
       1)建议部署SIP感知,并加强网络监控;
       2)对第一时间不能及时发现告警并处置、难以管理弱口令以及和最新漏洞情报的获取等情况,可采用安全运营服务MSS,通过“人机共智”的方式整合技术、专家和流程 ,帮助用户快速扩展安全能力,实现7*24H持续监测。
5.2   总结
       2024年7月4日上午接客户通知到现场进行安全事件排查,客户的一台“应用管理平台”服务器遭受了网络攻击,并对外发起了扫描探测。服务器第一次被恶意登录的时间为6月4日凌晨3点左右,第二次被登录时间为7月2日凌晨4点左右,在接到上级单位通报后,客户采取了服务器断网操作,将所有业务系统的网络断开,并在当天进行了消杀操作。
       经排查发现服务器被远程暴力破解,上传了多种病毒和黑客工具,包括挖矿、木马、扫描器等软件。攻击方式为rdp爆破。
      经过手工排查,找到病毒样本文件并删除,结合日志记录,溯源到攻击者IP及主要攻击手段为RDP暴破。

打赏鼓励作者,期待更多好文!

打赏
24人已打赏

牛风喜 发表于 2024-8-20 10:07
  
通过“人机共智”的方式整合技术、专家和流程 ,实现7*24H持续监测。
暗夜星空 发表于 2024-8-20 16:12
  
来向大佬学习!!!
原鹏程 发表于 2024-8-20 16:25
  
感谢楼主分享,努力学习中!!!!
平凡的小网工 发表于 2024-8-20 20:51
  
多谢分享,步骤很清晰,有助于工作。
zjwshenxian 发表于 2024-8-20 22:43
  

通过“人机共智”的方式整合技术、专家和流程 ,实现7*24H持续监测。
嘀嘀柠柠 发表于 2024-8-21 05:38
  
每天坚持打卡学习签到!!
JM 发表于 2024-8-21 07:51
  
一起来学习,一起来学习
新手899116 发表于 2024-8-21 07:56
  
一起来学习,一起来学习
真男人 发表于 2024-8-21 07:59
  
一起来学习,一起来学习
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人