本文详述了一次勒索病毒攻击事件的处理过程,包括紧急关闭端口、查找攻击源、用户通知、病毒查杀及系统修复等关键步骤,强调了网络安全意识的重要性。
记一次勒索病毒攻击事件的处理过程
******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保优快云.pptx
4、网络信息安全意识宣贯屏保优快云.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本
记一次勒索病毒攻击事件的处理过程
11时13分收到同事反馈,其电脑防病毒软件检测到勒索病毒或变种的攻击事件,攻击源:192.168.111.222
告知被攻击用户动作
紧急关闭445端口
查找攻击源使用人
根据IP-MAC记录表及上网行为管理AC上用户管理-IP-MAC绑定未查到攻击源ip。确定该用户为研发人员,禁止上网
利用nmap查看攻击源信息
发现主机名 及开放的端口 操作系统,确定为个人终端电脑,主机名未暴露使用人迹象。
根据交换机arp表项,查找MAC
根据MAC查找ip-mac记录表,找到该用户
该用户私自更改IP导致根据ip未查到该用户
攻击源用户动作
通知攻击源用户,
1、核实IP,确认后通知其先断网
2、关闭135/137/138/139/445等危险端口
3、安装杀毒软件,当时用的卡巴斯基
4、全盘扫描,查杀病毒
5、修复操作系统漏洞
总结
1、分析卡巴斯基扫描报告,查出大量木马,原因:个人电脑从未安装防病毒且操作系统未打补丁
2、管理上内网不上网的用户私自改IP,导致不能及时找到使用人
3、员工安全意识有待提高,危险端口445仍普遍开放,需通知整改
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
