今天帮一哥们儿的忙.帮市安全局去处理一个单位的入侵问题.
通过检查.发现这台机器有不断的dns查询操作.数据为动态域名.查询到对应的ip后.便连接特定port.获取加密的数据包.进而招待一些操作.如升级自己.寻找特定文件.上传等. 木马隐若的较好.
虽然安装了杀毒软件.还安了360.但没有任何报警.也没有扫描出任何异常. 瑞星没起作用.当然其它光盘版本的杀软.也没有办法 Wsycheck自动死掉.防杀了呢
用wirshark.看到此木马有向外的连接请求.记下此ip.要肉鸡上面执行netstat -ano /find IP找到此木马的pid.再在进程找到相应的程序.最后发现.竟然是 svchost调用了一个可疑的驱动.最后确认.确实是这个驱动产生的问题
感觉真累.在机器前站了二个多小时.不觉间腿脚都累酸了
总结.有很多的肉鸡活动.现.在流行分层结构.不是以前的cs结构.或利用网站的那种.大多的最后一级控制端.都分布在台湾.美国.日本.韩国. R国.
恩.还有什么呢.大多木马.现在的杀软无法查杀.隐藏的很好.一般分析难度较高.
另外.通讯都是加密的.有些是专有算法.比较难搞 很多入侵都发生很长时间.大多都没有发现.
很多入侵.都将文件打包压缩.并改了名进行隐藏.
恩.还有什么呢 ?
最后想推一下我的服务外包业务.要是哪家单位有这方面的.需要.请与我联系.毕竟我们比本单位的技术人员.更加专业.另外从成本上考虑. 服务外包.也会让自己的系统. 更安全更好地运行.比自己养一个专业的技术人员.要便宜多了
具体联系方式,在本博客的首页左上角找到,上面有我的最快联系方式。
没有评论:
发表评论