前言
某天刚坐到工位上,销售就打电话说有个客户中了勒索,需要帮忙瞅一瞅,
现场情况
到达现场后和客户简单沟通,白天上班时发现某系统不能访问,运维人员登录排查后发现系统被加密,被加密的主机一共有2台。目前做了断网没有做其他动作,中招主机是win系统,分别承载网站系统和oa系统,服务器上接公网路由器下连核心交换机,听到这心里就明白,溯源基本不可能了。
分析
- 登录主机,账户密码:administered/admin123456,主机屏幕显示勒索信息
- 新建文件后经过短暂等待发现依然被加密,说明加密程序依旧在运行,tasklis 发现可疑程序rundll32.exe
- 使用 arp - a ,并未发现可疑缓存
- 使用d盾也未发现可疑新增用户
查看加密文件的生成时间,确认主机被入侵的时间为2021/8/15 00:46:26:
日志无法分析攻击主机
处置
通过dos命令定位到可疑ID并终止可疑程序的运行:
并且通过检测,该主机未及时更新系统化补丁,导致存在严重系统漏洞补丁。
使用安全防护软件对该主机进行全盘扫描,发现该主机上存在Devos病毒文件,根据路径查找此文件,发现被隐藏,通过显示所有文件定位到恶意程序文件:
两台主机按客户要求,并无做处置,只是定位。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
