溯源勒索病毒

已于 2023-05-31 20:33:57 修改
阅读量1k 收藏 3
点赞数
分类专栏: 网络安全渗透 文章标签: 服务器 运维 系统安全
于 2023-05-31 20:31:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mulincong/article/details/130975206
版权

(自己搭建的平台,请勿当真,仅供学习)

1、打开电脑发现中了勒索病毒

a69af7f53915489d99c2a9bd9433202b.png

 由于该服务器对外的只有一个网站服务,所以先从网站查起,网站的中间件用的是phpstudy的apache,我的apache日志存在默认目录C:\phpstudy_pro\Extensions\Apache2.4.39\logs

9f30fcba06f0406a83c112591d27c98e.png

 由于是5.31发生的,所以就查当天日志

2、攻击者尝试密码爆破

发现一个可疑的IP192.168.146.1在17:54:57-17:58:58这段时间在网站登录页面短时间内不断的进行密码尝试,如此频繁只有利用工具爆破,手工不可能实现

c06a67b404014e8a82dd8b16b5d92d43.png

 在攻击者尝试爆破结束后,在18:02分使用网站后台密码admin/password成功进行了登录

最低0.47元/天 解锁文章
mulincong
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
服务器被搞了,溯源全过程
javagty6778的博客
03-14 516
本次的溯源过程其实是一个比较简单的溯源经历,这次分享主要目的就是让大家大概的了解一个溯源的大概简单过程是怎么样的,溯源中又是如果通过进程、端口等信息排查异常文件,再通过进程找到对应文件,通过日志找到痕迹,一层层的剥丝抽茧来找到入侵问题,最终清理掉相关的恶意文件,修复漏洞。一般来说,对于普通用户,溯源的目的更多的是清理已经植入服务器的各种病毒,找到入侵源头,也就是黑客是通过什么漏洞入侵服务器,而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历,正好贴合这次分享的内容。
勒索病毒事件溯源
swordheart的博客
09-28 4426
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。使用文件搜索工具everything搜索“*.exe”、“*.bat”、“*.vbs”等,按创建时间排序,如下,对于创建时间为加密时间点附近的可疑文件,可取出进行进一步分析,包括勒索病毒、恶意脚本、黑客工具等。
2024年最新nmap端口嗅探定位特定勒索病毒_nmap有毒吗,1-3年Golang开发工程师面试经验分享
2401_84905039的博客
05-15 245
WannaMine病毒伴随WannaCry勒索病毒在很多医疗系统被发现,由于该病毒会启用一个不常用的端口26931,所以可以利用nmap端口探测方式进行病毒定位,利用nmap工具探测445、26931端口,如果这两个端口同时开放,那么该终端基本可判定WannaMine病毒。从扫描的结果中筛选出开启了445和26931端口的计算机,在过滤框中输入:op:26931,445如果这两个端口都开放,基本可以判定中毒。需要的话可以点击**
溯源(二)之 windows-还原攻击路径
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-21 2042
那怎么知道我们的服务器被入侵了呢?我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows的安全日志去查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些出权限维持。
勒索病毒攻击后,有没有必要做溯源分析?
云盒子企业云盘官方账号,17年专注文档安全
07-05 1457
勒索病毒又火了,黑客凭借对kaseya勒索软件攻击,造成1000家公司受害,这些公司遍布在美国、英国、加拿大、南非等最少17个公家,其中瑞典最大的连锁超市COOP超过800家实体店在这次攻击事件中关门。 7月3日,美国总统拜登要求情报机构全面调查攻击事件。 近半年以来,勒索软件团队甚是“猖獗”,勒索事件频发,勒索金额屡创新高,攻击也愈发具备针对性。 从勒索病毒感染行业来看,数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重,依次占比为37%、18%、14%,总计占比高达69%。 经过几年
服务器被入侵了,溯源全过程(实战)
diaobusi的博客
06-22 1864
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
浅析电脑病毒清除方法
杨义贤心灵驿站
03-30 983
如今网络上病毒肆虐,让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查杀病毒时,是否遇到查出了病毒,但是杀不掉的情况,原因何在?该如何处理呢?以下笔者对此略作介绍。   系统还原文件   _restore文件夹是Windows Me/XP系统特有的系统还原文件夹,隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒,可以关闭 Windows系统的“系
2023年中国企业勒索病毒攻击态势分析报告
02-01
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究 样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开 深度分析,并首次给出了勒索病毒攻击的...
勒索病毒应急响应自救手册.docx
05-14
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且...
勒索病毒防护解决方案及应急响应专题资料合集.zip
05-11
快速恢复+溯源——CDP技术在抵御勒索病毒中的应用 勒索病毒的刨析与防范 勒索病毒立体防护解决方案 勒索病毒应急措施及防护方案 勒索病毒应急响应自救手册(第二版) 勒索软件取证与溯源 如何在勒索病毒和恶意攻击中...
从永恒之蓝勒索攻击看高级威胁调查取证的创新价值.pdf
08-07
“想哭”蠕虫勒索病毒溯源分析 高级威胁治理模型 Gartner推荐的高级威胁防御模型 主机取证设备--取证黑匣子(飞行数据记录仪) 高级网络安全调查取证/高级审计解决方案 调查取证/高级审计解决方案部署架构
防止勒索病毒操作日志
05-24
记录一次内网检查勒索病毒的整个过程,比较详细了,各
csnas-tech-15.2.0.15215-x64科来网络分析系统最新版
02-11
科来网络分析系统是一款集数据包采集、协议解码与...CSNAS可以在海量数据包中,快速定位到会话,对会话数据流进行还原,对Web攻击、垃圾邮件分析、挖矿勒索病毒等安全事件进行会话分析,快速明确内网主机是否被攻击。
WannaRen勒索病毒溯源新进展 或通过下载站大量传播
进击的龙
04-09 695
最近火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具,并对真实的病毒样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之...
流行勒索病毒分析总结
m0_68649618的博客
04-04 947
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险中,居首位者当属网络攻击。无论是公..
内网威胁感知与攻击溯源系统
chengpeng1144的博客
10-18 7365
一、现状与问题         随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响。高级持续性威胁(APT攻击)、鱼叉攻击、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。                         ...
基于DNS日志分析,勒索病毒和远程控制病毒排查方法
xudxy的专栏
06-15 4496
 由于公司受到勒索病毒及一些远程控制病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒和远程控制病毒特征分析               通过网上收集,勒索病毒和远程控制病毒运行会访问特定域名,仅作为示例:   ...
挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法
weixin_61738543的博客
04-15 8684
前言 首先大家会打开到这篇文章,就已经说明你大概率已经被病毒所困扰了。自从byrut网站为大家提供了大部分不安全的盗版游戏资源,很多人都从这些资源中被病毒感染,并且难以靠普通的杀毒软件进行杀毒了。其中一个最让人最难受的资源,就是这个类似病毒工厂会自动生成木马一样的病毒。如果你想靠自己处理掉这些木马文件,或许我的文章所分享的经验可以帮助到你! 我并非专业查杀病毒的人员,只是一个普通的本科开发实习生,以下内容是为了简单的分享一下这类病毒的手动清理方式,还有分享发现这一病毒后的思考,以及溯源的方式与思路。
5 计算机病毒如何起源的,电脑病毒是怎么产生的
weixin_42298881的博客
07-19 1114
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。电脑病毒产生的过程如下:1、计算机病毒最早出现于DOS,这是一个引导阶段,引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。2、1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,病毒代码在系统执行文...
L2-038 病毒溯源
最新发布
06-03
L2-038 病毒溯源是一个程序设计题目,主要考察对图的遍历和深度优先搜索(DFS)算法的理解和应用。该题目要求在一个有向图中寻找病毒源头,并输出所有可能的源头。 具体来说,该题目给出了一个有向图的邻接表表示,其中每个节点表示一个电脑,每条边表示一个文件的传输。该图中存在一些病毒节点,需要通过遍历图并使用DFS算法来找到所有可能的病毒源头。 在遍历图的过程中,需要记录下所有访问过的节点,并且需要区分已经访问过的节点和正在访问中的节点。如果在遍历过程中发现了环,则说明从当前节点开始存在病毒,并且可以将当前节点及其前面的节点都标记为病毒源头。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值