注册
登录
| 关键词: 服务器 登录 日志 事件 补丁 病毒 端口 加密 漏洞 黑客 |
今天,接到客户信息说中勒索病毒了,虽然买的是VPN不是防火墙,但还是希望能帮用户解决问题。 到达用户现场,首先看到文件被加密了,文件名后缀为bigbosshorse,加密时间为2019/11/23 17:11。  Decryption里面就是勒索信息。  向客户了解到这台服务器并不对外提供服务,那能入侵的方法就不多了,然后我们用 netstat -ano 看服务器开启了哪些端口,可以看到445,3389这些高危端口都是开放的。  再看服务器系统,这是个2008R2的服务器  在CMD中输入systeminfo,查看补丁情况,对比MS17-010补丁号,服务器没有打补丁。 补丁地址:https://docs.microsoft.com/zh-cn ... etins/2017/ms17-010   虽然服务器没有打补丁,我们需要判断服务器是否存在这个漏洞,一个简单的方法就是运行CMD,输入WMIC BIOS get releasedate,检查日期为2017-03-12之后的操作系统已经默认修复了该漏洞不需再覆盖修复,说明被加密的服务器是不存在该漏洞的。 参考:https://blog.csdn.net/u010050174/article/details/81179097  查看服务器安全日志看能不能有什么发现,运行eventvmr.msc打开事件查看器,先看windows日志里的安全日志,这里主要是看登录日志,因为忘了拍照我截了一张自己电脑的图,可以看到审核成功对应的是登录成功的事件ID4624,审核失败对应事件ID4625,如果日志中短时间内有大量登录行为,那么极有可能是有人在爆破服务器密码。   这时,在日志中发现一个登录成功日志,我们需要查明是管理员登录的还是黑客登录的? 通过【应用程序】-【Microsoft-Windows】-【TerminalServices-RemoteConnectionManager】,打开Operational,筛选当前日志,事件ID1149,可以看到RDP连接的源地址。     查看IP对应地区,多为外地登录,说明服务器密码泄露。    查看防火墙配置,发现服务器远程桌面被映射到公网! 根据以上勒索病毒事件的处理情况来看,约95%的服务器勒索事件是因为开发了3389端口导致的,黑客通过暴力破解服务器登录密码,远程到服务器,之后植入勒索病毒;网络安全设备对3389的暴力破解只能抑制不能封堵,而杀毒软件也会被黑客登录后手动关闭,因此勒索病毒是难以防范的,我们应该更多的去做好预防和检测响应措施,以及备份。 |
| 本文出处: https://www.toutiao.com/a6805475735243850254/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
