事件描述
每日巡检中用户安全板块发现此 P 地址被攻陷
处理过程
1 、为保证网络安全,首先通过 MAC 地址找到
交换机对应端口,使用 shutdown 命令禁用网
络。
2 、分析病毒类型:
安全事件一般分为三种视角,1.外到内 2.内到
外 3 内到内
通过防火墙日志分析,当前病毒威胁类型为僵
尸网络,标签 coinmineri 这类型的挖矿病毒,通
常是内部电脑中毒,向外部攻击服务器上传数
据被防火墙检测出而产生的。通过防火墙日志
分析,发现发起请求的源端口为 58850 ,再源
主机上利用 netstat-aon|findstr"58850"和 tas
klist|findstr"4992"命令定位病毒源程序。
病毒源程序为:clash-core-service.exe
同时分析系统日志,系统任务计划程序,发现
此病毒文件每天定时执行。
3 、处理病毒:
彻底卸载病毒源程序,彻底删除源程序文件。
终止并删除病毒源程序定时计划任务。
4 、恢复网络、并持续跟踪观察此 P 在防火墙日
志记录。
