一次windows server 服务器病毒分析处理总结
接到反应某企业绿盟平台不停报警,当天发现服务器IP所在为192.168.xx.xx 的一天有上千条报警。针对这种情况,举行了分析并举行了处理。一、绿盟安全管理平台报警
平台检测到某服务器有远程命令实行漏洞、挖矿举动等异常举动。平台目前最早记载为 2024-0x-0x。到9月2号有超十万次报警举动。
https://i-blog.csdnimg.cn/direct/fd018b05e63c4f7a89bada8cf352e8aa.png
https://i-blog.csdnimg.cn/direct/66d18b93666d47c4b3adc6e10c8bf734.png
二、扫描分析
使用端口扫描工具对受害服务器举行扫描,发现有如下开放端口,访问该系统80xx端口,确定是某系统相干服务器。弱口令爆破实验,发现mysql 存在弱口令并乐成连接,存在敏感数据8000余条。
https://i-blog.csdnimg.cn/direct/3064c6d50c6e4c57ba2e4c5c2122c341.png
三、处理
起首根据网段确定某子公司的服务器。联系人员确认该系统没重要影响,可以断网,针对该服务器起首辈行了断网。
去公司排查,检测到该服务器确实存在 CPU 100% 异常举动。对可疑文件拷贝,并排查了影子账号、windows 事件日志、计划任务。经太过析确认该服务器存在文件“bHcSLsN.exe”是木马病毒;而且下载木马的计划任务。根据该病毒感染情况杀毒处理、去掉后门、感染文件、影子账号、计划任务。
https://i-blog.csdnimg.cn/direct/3b76a8fcfc844fc7ad33c4e65fdf7152.png
https://i-blog.csdnimg.cn/direct/4dc0f5e837db474baa1ad5c0e913a848.png
针对木马文件bHcSLsN.exe,分析有多款杀毒软件报毒:
https://i-blog.csdnimg.cn/direct/6b1e1ccdeff4446789a5d7a00c3a919f.png
使用360沙箱云,分析该病毒存在多个恶意危险举动。
https://i-blog.csdnimg.cn/direct/d3f1df37563b4535b7081a41c5105c83.png
https://i-blog.csdnimg.cn/direct/2157b1e6b9f94371987e328abfd59728.png
四、可能原因分析
由于中病毒事件较远,windows 事件日志、绿盟平台没有最早记载,从计划任务分析最早时间是2021.0x.xx。根据通信的域名可以t.zz3r0.com 发现是永恒之蓝下载器木马。该木马利用渠道:
漏洞扫描及利用弱口令爆破MS17-010漏洞利用RDP爆破Lnk漏洞(CVE-2017-8464)利用SMB爆破SMBGhost漏洞(CVE-2020-0796)利用MSSQL爆破SSH爆破Redis爆破
[*]从上述可以推断大致感染渠道:
[*]使用带木马病毒的激活工具;
[*]使用了“驱动人生”软件;
[*]根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统;
[*]第三方软件公司安全意识差,开放了不必要端口,并使用了弱暗码;
[*]根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统。
五、防范
[*]利用好安全态势感知平台,针对该木马病毒远程连接的相干IP排查是否有类似的感染;
[*]增强服务器系统安全管理,克制系统、软件使用弱口令;镌汰不必要的开放端口;定期升级补丁;
[*]培训人员安装系统时,做好防病毒工作;
[*]增强对外来厂商软件的安全稽核。
六、参考
驱动人生挖矿木马分析与处置:https://blog.csdn.net/beichenyyds/article/details/135521352
360云沙箱:https://ata.360.net/
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]