一次windows server 服务器病毒分析处理总结

接到反应某企业绿盟平台一直报警,当天发现服务器IP地址为192.168.xx.xx 的一天有上千条报警。针对这种情况,进行了分析并进行了处理。

一、绿盟安全管理平台报警

​ 平台检测到某服务器有远程命令执行漏洞、挖矿行为等异常行为。平台目前最早记录为 2024-0x-0x。到9月2号有超十万次报警行为。

二、扫描分析

​ 使用端口扫描工具对受害服务器进行扫描,发现有如下开放端口,访问该系统80xx端口,确定是某系统相关服务器。弱口令爆破尝试,发现mysql 存在弱口令并成功连接,存在敏感数据8000余条。

三、处理

首先根据网段确定某子公司的服务器。联系人员确认该系统没重要影响,可以断网,针对该服务器首先进行了断网。

去公司排查,检测到该服务器确实存在 CPU 100% 异常行为。对可疑文件拷贝,并排查了影子账号、windows 事件日志、计划任务。经过分析确认该服务器存在文件"bHcSLsN.exe"是木马病毒;并且下载木马的计划任务。根据该病毒感染情况杀毒处理、去掉后门、感染文件、影子账号、计划任务。

针对木马文件bHcSLsN.exe,分析有多款杀毒软件报毒:

使用360沙箱云,分析该病毒存在多个恶意危险行为。

四、可能原因分析

​ 由于中病毒事件较远,windows 事件日志、绿盟平台没有最早记录,从计划任务分析最早时间是2021.0x.xx。根据通信的域名可以t.zz3r0.com 发现是永恒之蓝下载器木马。该木马利用渠道:

漏洞扫描及利用 弱口令爆破
MS17-010漏洞利用 RDP爆破
Lnk漏洞(CVE-2017-8464)利用 SMB爆破
SMBGhost漏洞(CVE-2020-0796)利用 MSSQL爆破
SSH爆破
Redis爆破
  • 从上述可以推断大致感染渠道:
  • 使用带木马病毒的激活工具;
  • 使用了"驱动人生"软件;
  • 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统;
  • 第三方软件公司安全意识差,开放了不必要端口,并使用了弱密码;
  • 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统。

五、防范

  • 利用好安全态势感知平台,针对该木马病毒远程连接的相关IP排查是否有类似的感染;
  • 加强服务器系统安全管理,禁止系统、软件使用弱口令;减少不必要的开放端口;定期升级补丁;
  • 培训人员安装系统时,做好防病毒工作;
  • 加强对外来厂商软件的安全审核。

六、参考

驱动人生挖矿木马分析与处置:https://blog.csdn.net/beichenyyds/article/details/135521352

360云沙箱:https://ata.360.net/

相关推荐
Harbor Lau1 分钟前
Linux常用中间件命令大全
linux·运维·中间件
漫谈网络19 分钟前
基于 Netmiko 的网络设备自动化操作
运维·自动化·netdevops·netmiko
꧁坚持很酷꧂1 小时前
Linux Ubuntu18.04下安装Qt Craeator 5.12.9(图文详解)
linux·运维·qt
小诸葛的博客2 小时前
详解Linux中的定时任务管理工具crond
linux·运维·chrome
一默19912 小时前
CentOS 7.9升级OpenSSH到9.9p2
linux·运维·centos
keep intensify3 小时前
Linux常用指令
linux·服务器·php
BranH3 小时前
Linux系统中命令设定临时IP
linux·运维·服务器
极小狐3 小时前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
宁酱醇3 小时前
GitLab_密钥生成(SSH-key)
运维·ssh·gitlab
秋风起,再归来~4 小时前
【Linux庖丁解牛】—进程优先级!
linux·运维·服务器