学习使用

统计

登录

标签搜索

搜索到 9 篇与的结果 ———

勒索病毒-应急响应

勒索病毒-应急响应

勒索病毒0x00 前言勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。0x01 应急场景某天早上，网站管理员打开OA系统，首页访问异常，显示乱码：0x02 事件分析登录网站服务器进行排查，在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下都有一个!HELP_SOS.hta文件，打包了部分样本：打开!HELP_SOS.hta文件，显示如下：到这里，基本可以确认是服务器中了勒索病毒，上传样本到360勒索病毒网站（http://lesuobingdu.360.cn）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。绝大多数勒索病毒，是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作，数据库与源码分离（类似OA系统附件...

admin

2022-02-28

Windows应急响应,安全服务

951 阅读

0 评论

2022年02月28日

951 阅读

0 评论

FTP暴力破解-应急响应

FTP暴力破解-应急响应

FTP暴力破解0x00 前言 FTP是一个文件传输协议，用户通过FTP可从客户机程序向远程主机上传或下载文件，常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell，进一步渗透提权，直至控制整个网站服务器。0x01 应急场景从昨天开始，网站响应速度变得缓慢，网站服务器登录上去非常卡，重启服务器就能保证一段时间的正常访问，网站响应状态时而飞快时而缓慢，多数时间是缓慢的。针对网站服务器异常，系统日志和网站日志，是我们排查处理的重点。查看Window安全日志，发现大量的登录失败记录：0x02 日志分析安全日志分析：安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么。打开安全日志，在右边点击筛选当前日志，在事件ID填入4625，查询到事件ID4625，事件数177007，从这个数据可以看出，服务器正则遭受暴力破解：进一步使用Log Parser对日志提取数据分析，发现攻击者使用了大量的用户名进行爆破，例如用户名：fxxx，共计进行了17826次口令尝试，攻击者基于...

admin

2022-02-28

Windows应急响应,安全服务

820 阅读

0 评论

2022年02月28日

820 阅读

0 评论

挖矿病毒（二）-应急响应

挖矿病毒（二）-应急响应

挖矿病毒（二）0x00 前言　　作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。0x01 感染现象1、向大量远程IP的445端口发送请求2、使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。连杀软清除不了的病毒，只能手工来吧，个人比较偏好火绒，界面比较简洁，功能也挺好用的，自带的火绒剑是安全分析利器。于是安装了火绒，有了如下分析排查过程。0x02 事件分析A、网络链接通过现象，找到对外发送请求的进程ID：4960B、进程分析进一步通过进程ID找到相关联的进程，父进程为1464找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。 C、删除服务选择可疑服务项，右键属性，停止服务，启动类型：禁止。停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现...

admin

2022-02-27

Windows应急响应,安全服务

796 阅读

0 评论

2022年02月27日

796 阅读

0 评论

挖矿病毒（一）-应急响应

挖矿病毒（一）-应急响应

挖矿病毒（一）0x00 前言随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。0x01 应急场景某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。0x02 事件分析登录网站服务器进行排查，发现多个异常进程：分析进程参数：wmic process get caption,commandline /value >> tmp.txtTIPS:在windows下查看某个运行程序（或进程）的命令行参数使用下面的命令： wmic process get caption,commandline /value 如果想查询某一个进程的命令行参数，使用下列方式： wmic process where caption=”svchost.exe” get caption,commandline /value 这样就可以得到进程的可执行文件位置等信息。...

admin

2022-02-27

Windows应急响应,安全服务

652 阅读

0 评论

2022年02月27日

652 阅读

0 评论

ARP病毒-应急响应

ARP病毒-应急响应

ARP病毒0x00 前言　　ARP病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称，目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。0x01 应急场景　　某天早上，小伙伴给我发了一个微信，说192.168.64.76 CPU现在负载很高，在日志分析平台查看了一下这台服务器的相关日志，流量在某个时间点暴涨，发现大量137端口的UDP攻击。0x02 分析过程　　登录服务器，首先查看137端口对应的进程，进程ID为4对应的进程是SYSTEM，于是使用杀毒软件进行全盘查杀。卡巴斯基绿色版：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe卡巴斯基、360杀毒、McAfee查杀无果，手工将启动项、计划任务、服务项都翻了一遍，并未发现异常。本地下载了IpTool抓包工具，筛选条件：协议 UDP 端口 137可以明显的看出192.168.64.76发送的数据包是异常的，192.168.64....

admin

2022-02-27

Windows应急响应,安全服务

948 阅读

0 评论

2022年02月27日

948 阅读

0 评论

查看更多

admin博主

访问 188639 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁