僵木蠕病毒快速处置建议(零成本)

置顶 已于 2024-08-24 11:39:32 修改
阅读量1.2w 收藏 17
点赞数
分类专栏: 网络安全 文章标签: 安全 web安全 服务器
于 2022-02-11 15:18:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axxxwo/article/details/122880633
版权

僵木蠕病毒快速处置建议

一、基本思路

  1. 终端杀毒:连接互联网的终端如台式电脑、教学屏、展示机等全面安装杀毒软件并杀毒。
  2. 安全DNS:使用安全DNS或自建DNS服务器拦截恶意域名,解决移动终端无法全面安装杀毒软件的问题。
  3. 安全设备:在防火墙、安全网关等设备上添加策略,阻断恶意连接。
  4. 替代上网:使用动态IP(普通宽带)或局域网(如电子政务外网)等替代上网。

二、僵木蠕病毒自查

奇安信威胁情报中心(https://ti.qianxin.com/)或微步在线X情报社区(https://x.threatbook.com)输入IP、域名信息即可查询。
注:IOCtag信息仅表示恶意家族或攻击团伙历史上曾使用过该基础设施,非实时更新。
奇安信:
在这里插入图片描述
微步:
在这里插入图片描述

三、僵木蠕病毒处置方式

1、杀毒软件全面查杀

对使用该IP上网的所有终端使用杀毒软件进行全面查杀。确保每个终端都安装杀毒软件。以下是免费杀毒软件推荐,选择适合的一种安装即可(同时安装多个杀毒软件将影响终端性能):

杀毒软件链接适用范围
火绒https://www.huorong.cn/person5.html终端数量少,无集中管理需要
腾讯电脑管家小团队版https://team.qq.com/group/create#/终端数量500台以内,有集中管理需要(永久免费)
金山毒霸团队版https://team.duba.net/index/终端数量500台以上,有集中管理需要(永久免费)

火绒杀毒软件,推荐下载完整版,含广告拦截。
在这里插入图片描述

腾讯电脑管家小团队版,集中管理,永久免费。
在这里插入图片描述

在这里插入图片描述
恶性木马,顽固病毒(Rootkit、Bootkit等病毒)使用火绒恶性木马专杀工具(https://bbs.huorong.cn/thread-18575-1-1.html)进行专门查杀。
在这里插入图片描述

2、安全DNS自动拦截

使用安全DNS进行域名解析,实现恶意域名、木马、僵木蠕病毒的自动拦截,例如,315晚会曝光的“高速下载器”,即使手动点击下载按钮,也无法连接到对应服务器进行下载。同时可弥补笔记本电脑、手机等移动终端无法全面覆盖杀毒软件的问题。
在这里插入图片描述
以OneDNS为例(https://onedns.net/),将原路由器、交换机、网关、防火墙等DHCP自动分配的普通DNS修改为带拦截功能的安全DNS,推荐使用家庭版,DNS:117.50.60.30,52.80.80.30。
在这里插入图片描述
在这里插入图片描述

家庭版:在拦截版的基础上,增加了色情暴力站点过滤、赌博站点过滤功能,更好的净化家庭网络环境。
在这里插入图片描述
如何测试配置生效?
点击测试链接http://test.onedns.net(请放心,这是一个无害的测试页面),如果看到如下图拦截页面,则证明OneDNS正在运行。
一些恶意域名和IP(仅供测试)
www.sulapreaplace.club
www.jacobstott.club
download.glzip.cn
在这里插入图片描述
公益版永久免费,支持威胁告警,但不支持拦截。
在这里插入图片描述
使用效果如图所示。
在这里插入图片描述

3、自建DNS服务器拦截(基于远控域名清单)

使用闲置的服务器或虚拟机搭建DNS服务器,使用拦截规则阻断恶意域名外联,以开源AdGuard Home为例,搭建教程参考 国产Anolis OS龙蜥操作系统安装AdGuard Home教程
添加自定义过滤规则清单,参考腾讯文档: 远控域名清单(每月更新)https://docs.qq.com/sheet/DVmN1WFd6RkZub3pU
在这里插入图片描述
强制客户端DNS代理:无论客户机设置的是什么DNS地址,经过路由时,都会强制劫持之前的DNS数据,使用此页面配置的DNS代理解析。
在这里插入图片描述
在这里插入图片描述

典型案例:

  • 通过AdGuard的自定义过滤规则发现某终端访问了恶意域名。
    在这里插入图片描述
  • 使用内网IP扫描工具,如Advanced_IP_Scanner,发现该主机名为DESKTOP-266RL8D,初步判断为台式电脑。在这里插入图片描述
  • 后续可结合所处网段以及主机名进行排查,此处由于之前已对每个台式电脑安装了腾讯电脑管家小团队版,即可快速判定可疑电脑,进行有针对性的病毒查杀。
    在这里插入图片描述

4、防火墙策略阻断

如果IP出口有防火墙,则在防火墙上针对相关僵木蠕域名做阻断策略(域名ping不通)。注:封禁IP地址无效,因为域名还是需要到互联网解析,留下解析记录。以山石网科防火墙为例:
在这里插入图片描述
通过查看会话日志,根据策略ID迅速定位异常终端IP地址。
在这里插入图片描述
在终端上查看计划任务表以及进程,是否有异常情况,再使用多种专杀工具交替查杀,确保病毒被查杀且无遗漏,防火墙木马阻断策略也不再增加匹配次数。

5、动态或局域网IP上网

如非必须使用固定IP(互联网专线等)上网,则使用动态IP(普通宽带)或局域网(如电子政务外网)等替代上网。
注:多终端(5台以上)使用普通宽带,建议光猫桥接通过路由器拨号上网,避免因为光猫性能弱导致网络卡顿。

僵尸木马
yes_angel的博客
07-20 4347
今天得知我被调到移动去做僵尸木马的安全处理,搜罗了一些文章,希望有用 应当看到,由于僵尸网络日益复杂并难于检测,使得许多单位并没有完全认识到僵尸网络的造成的危害,甚至有点儿沾沾自喜,总觉得僵尸网络离自己的单位很远。他们不相信这种网络攻击真得会阻止对站点的访问,不相信成千上万的计算机会成为网络僵尸。其实,僵尸网络早已“女大十八变”,它已经成为网络钓鱼、传播垃圾邮件和色情文学、实施点击欺诈和经济
等保二三级,常用设备参考
m0_68037567的博客
10-30 524
通过对数据库访问信息的采集、分析、识别,实时监控数据库的所有访问操作,同时支持自定义内容关键字库,实现数据库操作的内容监测识别,发现各种违规数据库操作行为,及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位,全面保障数据库系统的安全。支持对NIPS,NIDS,堡垒机,防火墙等安全设备的威胁管理,脆弱性管理,设备管理,策略管理,报表管理,权限管理、系统管理、日常管理、告警管理等。针对操作系统,网络设备,安全设备,数据库,应用系统,中间件,虚拟化平台等设备及系统的安全配置加固建议
病毒专杀工具介绍
最新发布
gitblog_06769的博客
04-17 282
病毒专杀工具介绍 【下载地址】病毒专杀工具介绍 面对病毒难以彻底清除的难题,传统方法往往费时费力。本开源项目提供了一款专为病毒设计的深度清理工具,有效弥补了常规杀毒软件的不足。通过使用这款工具,您可以高效清除病毒,避免重做系统的麻烦,节省大量时间与精力。无论是个人用户还是企业,都能轻松应对病毒带来...
常见的网络攻击
qq_32044265的博客
07-18 6361
攻击业内习惯把僵尸网络、木马、虫、感染型病毒合称为僵木毒。从攻击路径来看,虫和感染型病毒通过自身的能力进行主动传播,木马则需要渠道来进行投放,而由后门木马(部分具备虫或感染传播能力)构建僵尸网络。
怎样有效的治理僵尸网络?
LuHai3005151872的博客
07-10 1877
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 也会带来各种危害,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面小墨给大家简单的介绍下对于僵尸网络应该怎么治理。 对僵尸网络进行治理,切断DDoS攻击的源头,从理论上说这是对抗DDoS攻击最为有效的方法。然而,在实际操作过程中,治理僵尸网络需要面对诸多的困难和问题。 进行僵
Windows应急响应(二 病毒
weixin_43781139的博客
11-09 1750
0x00 前言 ​ 病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。 常见的病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。 0x01 应急场景 ​ 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,无图脑补。 0x02 事件分析 在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网...
木马处置建议
tlucky的博客
04-16 3492
1.发现一条远控木马的告警 1.确认时间真实性 2.查询情报信息——时效性、相关的情报信息 3.定位受害ip 4.排除误报 资产,用户触发 5.关联分析——定位被扩散的资产 6.溯源分析 7.提出处置建议+出报告 2.远控木马活动事件-传播途径 木马的传播途径 —般中招过程如下: 1,网站,终端,浏览器符存在漏洞,漏洞利用后恶意样本投递: 主机漏洞,web漏洞,数据库漏洞,浏览器漏洞,第三方软件(如realplayer,迅雷,暴风影音等)漏洞,人为 因素,ARP欺骗等 2,恶意投递行为: 邮件。鱼叉式和钓鱼
记一次比尔盖茨僵尸网络病毒处理过程
qq_26002283的博客
04-03 1055
记一次比尔盖茨僵尸网络病毒(通过rkhunter 扫描发现)处理过程(处理过程中发现有守护进程,所以直接越过重复查找的过程): 1、 发现机器存在大量外联,紧急封堵网络。 2、 查看top 进程,发现可疑进程: 3、 通过lsof 查看进程关联的文件: 4、 查看定时任务 发现恶意定时任务: 5、 进入到定时任务文件夹查看: 6、 查看开机启动列表: 7、 查找恶意文件位置: 8、 通...
如何防患僵尸网络
QQ2852813031的博客
03-09 1103
网络攻击主要来源于僵尸网络系统 据安全部门抽样监测发现,境外有73286个IP地址作为木马或僵尸网络控制服务器参与控制我国境内受控主机近1419.7万个。其中位于美国的控制服务器控制了我国境内近1051.2万个主机IP,控制我国境内主机IP数量居首位,其次是位于韩国和德国的IP地址,分别控制了我国境内近78.5万个和近77.8万个主机IP。 什么是僵尸网络呢? 僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一..
绿盟科技安全态势感知解决方案
weixin_33734785的博客
07-03 3961
信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。 这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最...
实例解析病毒的原理
03-31
病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个“另类”。病毒的破坏性很强,部分病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台――病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了……
如何防御勒索病毒的入侵?(大飞哥网络安全公开课程).mp4
06-05
课程要点: 1.什么是勒索; 2.勒索传播原理解读; 3.勒索的入侵过程; 4.如何防御勒索的入侵。
深信服僵尸网络查杀工具
11-12
深信服僵尸网络查杀工具 深信服僵尸网络查杀工具 深信服僵尸网络查杀工具
远离僵尸网络的14种方法
jojo705的博客
02-14 1097
网络犯罪的手法总是不断翻新,他们不停优化武器和攻击策略,无情地漫游网络以寻找下一个大目标。 各种各样的敏感信息、隐私数据,如保密的员工档案,客户的财务数据,受保护的医疗文件和政府文件,都面临着网络安全的无情威胁。 解决问题的方法很多,从培训Email用户安全意识到确保VPN 终止开关到位,再到添加广泛的高级网络保护层。 为了成功防御黑客、病毒和恶意软件(如僵尸网络)的严重威胁,网络管理人...
网际,MAC,DNS,僵木,木马,APT,dns隐蔽隧道,.pcap,开源情报,元数据,带外管理,磁盘阵列RAID,DRAC,ARP,充分必要条件
韩梦飞沙_韩亚飞
03-15 2179
网际网络是指在广域网与广域网之间互相连接的网络,包括不同类型的协议的网络的互联,比如TCp/IP网络和X.25网络的互联。 现在咱们通用的因特网(INTERNET)就是很明显的网际网络,因为因特网中包含着各种不同类型的网络。 MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在...
【云计算网络安全】僵尸网络详解:工作原理、控制和保护方法
A1_3_9_7的博客
03-04 1702
僵尸网络(Botnet)是一组遭到恶意软件感染并被恶意用户控制的计算机集合。这个术语由"机器人(Bot)"和"网络(Net)“两个词组合而成,每一台受感染的设备被称为"机器人”。僵尸网络被滥用来执行非法或恶意的任务,包括发送垃圾邮件、窃取数据、传播勒索软件、进行欺诈性广告点击,以及实施分布式拒绝服务(DDoS)攻击。
恶意软件基础
lixbao的博客
04-18 6609
恶意软件特性 恶意软件(内部俗称“僵木)是指在计算机系统上执行恶意任务的病毒虫、特洛伊木马、后门、僵尸网络、Rootkit、逻辑炸弹、间谍软件、广告软件。 恶意代码范围很广,包括利用各种网络、操作系统、软件和物理安全漏洞来向计算机系统传播恶意程序。 病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象 危害 破坏计算机数据 计算机病毒激发后会通过格式化、改写、删除、破坏设置等破坏计算机
dns安全 涉及 术语
weixin_33907511的博客
11-22 692
僵木 以“僵木”(僵尸网络、木马、虫)为代表的网络威胁 僵尸网络是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络,我们将之称之为僵尸网络,botnet。 对网友而言,感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动静,原来一切只是骗局,意在诱惑网友下载有问题的...
基于天融信僵木检测系统的研究的主要参考文献
02-22
我认为最有参考价值的参考文献是由Jiawei Yang发表在《IEEE Transactions on Industrial Electronics》上的文章《基于僵木检测系统的研究》(Research on the Tentacle Detection System Based on Tencent)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值