freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记录一次应急响应—挖矿病毒
2022-01-14 17:04:46

1.概述

接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。
image.png

2.排查思路

  • 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。

  • 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。

  • 思考后决定去客户核心交换机上进行抓包分析。

3.镜像端口配置

客户设备是一台华为的设备,如下图是模拟的一个拓扑:
image.png
例如配置GigabitEthernet0/0/1端口流量镜像到GigabitEthernet0/0/2上。

observe-port 1 interface g0/0/2 //配置观察接口
interface g0/0/1 //进入被镜像端口
port-mirroring to observe-port 1 both //配置镜像到观察端口

4.抓包结果分析

配置好相关地址后,使用wireshark进行抓包分析,根据通告内容,因为有主机解析了矿池地址,所以产生了告警。所以使用如下语句过滤数据包:
dns.qry.name =="castaic.vaincues.com"
成功过滤除了解析矿池的DNS数据包,如下图:
image.png
在相关机器上进行异常进程排查,杀毒成功解决。

5.总结

这次应急难度不是很大,主要是一个思路和一些设备配置问题。

本文作者:, 转载请注明来自FreeBuf.COM

# 应急响应 # 应急处置
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑