通过检查.发现这台机器有不断的dns查询操作.数据为动态域名.查询到对应的ip后.便连接特定port.获取加密的数据包.进而招待一些操作.如升级自己.寻找特定文件.上传等.
木马隐若的较好.虽然安装了杀毒软件.还安了360.但没有任何报警.也没有扫描出任何异常.
瑞星没起作用.当然其它光盘版本的杀软.也没有办法
Wsycheck自动死掉.防杀了呢
最后用wirshark.看到此木马有向外的连接请求.记下此ip.要肉鸡上面执行netstat -ano /find
IP找到此木马的pid.再在进程找到相应的程序.最后发现.竟然是 svchost调用了一个可疑的驱动.最后确认.确实是这个驱动产生的问题
感觉真累.在机器前站了二个多小时.不觉间腿脚都累酸了
总结.有很多的肉鸡活动.现.在流行分层结构.不是以前的cs结构.或利用网站的那种.大多的最后一级控制端.都分布在台湾.美国.日本.韩国.
R国.恩.还有什么呢.大多木马.现在的杀软无法查杀.隐藏的很好.一般分析难度较高.
另外.通讯都是加密的.有些是专有算法.比较难搞
很多入侵都发生很长时间.大多都没有发现.很多入侵.都将文件打包压缩.并改了名进行隐藏.
恩.还有什么呢 ?
最后想推一下我的服务外包业务.要是哪家单位有这方面的.需要.请与我联系.毕竟我们比本单位的技术人员.更加专业.另外从成本上考虑.
服务外包.也会让自己的系统. 更安全更好地运行.比自己羊一个专业的技术人员.要便宜多了
--
Sent from my mobile device
没有评论:
发表评论