一次windows server 服务器病毒分析处理总结

接到反应某企业绿盟平台一直报警,当天发现服务器IP地址为192.168.xx.xx 的一天有上千条报警。针对这种情况,进行了分析并进行了处理。

一、绿盟安全管理平台报警

​ 平台检测到某服务器有远程命令执行漏洞、挖矿行为等异常行为。平台目前最早记录为 2024-0x-0x。到9月2号有超十万次报警行为。

二、扫描分析

​ 使用端口扫描工具对受害服务器进行扫描,发现有如下开放端口,访问该系统80xx端口,确定是某系统相关服务器。弱口令爆破尝试,发现mysql 存在弱口令并成功连接,存在敏感数据8000余条。

三、处理

首先根据网段确定某子公司的服务器。联系人员确认该系统没重要影响,可以断网,针对该服务器首先进行了断网。

去公司排查,检测到该服务器确实存在 CPU 100% 异常行为。对可疑文件拷贝,并排查了影子账号、windows 事件日志、计划任务。经过分析确认该服务器存在文件"bHcSLsN.exe"是木马病毒;并且下载木马的计划任务。根据该病毒感染情况杀毒处理、去掉后门、感染文件、影子账号、计划任务。

针对木马文件bHcSLsN.exe,分析有多款杀毒软件报毒:

使用360沙箱云,分析该病毒存在多个恶意危险行为。

四、可能原因分析

​ 由于中病毒事件较远,windows 事件日志、绿盟平台没有最早记录,从计划任务分析最早时间是2021.0x.xx。根据通信的域名可以t.zz3r0.com 发现是永恒之蓝下载器木马。该木马利用渠道:

漏洞扫描及利用 弱口令爆破
MS17-010漏洞利用 RDP爆破
Lnk漏洞(CVE-2017-8464)利用 SMB爆破
SMBGhost漏洞(CVE-2020-0796)利用 MSSQL爆破
SSH爆破
Redis爆破
  • 从上述可以推断大致感染渠道:
  • 使用带木马病毒的激活工具;
  • 使用了"驱动人生"软件;
  • 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统;
  • 第三方软件公司安全意识差,开放了不必要端口,并使用了弱密码;
  • 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统。

五、防范

  • 利用好安全态势感知平台,针对该木马病毒远程连接的相关IP排查是否有类似的感染;
  • 加强服务器系统安全管理,禁止系统、软件使用弱口令;减少不必要的开放端口;定期升级补丁;
  • 培训人员安装系统时,做好防病毒工作;
  • 加强对外来厂商软件的安全审核。

六、参考

驱动人生挖矿木马分析与处置:https://blog.csdn.net/beichenyyds/article/details/135521352

360云沙箱:https://ata.360.net/

相关推荐
宁zz2 小时前
乌班图安装jenkins
运维·jenkins
无名之逆2 小时前
Rust 开发提效神器:lombok-macros 宏库
服务器·开发语言·前端·数据库·后端·python·rust
大丈夫立于天地间2 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
rainFFrain3 小时前
单例模式与线程安全
linux·运维·服务器·vscode·单例模式
GalaxyPokemon3 小时前
Muduo网络库实现 [九] - EventLoopThread模块
linux·服务器·c++
xujiangyan_4 小时前
nginx的反向代理和负载均衡
服务器·网络·nginx
@郭小茶4 小时前
docker-compose方式部署docker项目
运维·docker·容器
GalaxyPokemon5 小时前
Muduo网络库实现 [十] - EventLoopThreadPool模块
linux·服务器·网络·c++
自由鬼5 小时前
开源虚拟化管理平台Proxmox VE部署超融合
linux·运维·服务器·开源·虚拟化·pve
孤独得猿5 小时前
Qt常用控件第一部分
服务器·开发语言·qt