某次维护大型展会网络安全的时候,发现某个ip在不断对内网地址进行445端口扫描,第一反应便是蠕虫之类的木马或者病毒,因此尽早排查病毒所在主机变得尤为迫切。
下面是当时排查的做法,作为参考,欢迎探讨。
1、确定最接近主机的那层交换机所在位置,这个比较好确定,一般现场网络维护人员都有相关监控或者流量查看平台,直接要结果就可。
2、知道是哪台交换机之后,使用一个网线接入笔记本,使用笔记本的wireshark进行抓包,可以分析是具体哪个ip出了问题。
3、根据现场的网络部署图,找到了攻击ip的具体位置,排查发现是一个路由器。
4、当时该路由器的管理人员不在现场,于是赶紧找人联系。同时我用nmap扫了下该路由器ip,发现开了80端口,猜测是开放了路由器管理后台,于是在浏览器访问http://ip,果然是管理后台。
5、现场的人不知掉管理后台密码,但是知道wifi密码,我们还知道wifi名称,于是用将这些信息作为输入,使用字典爆破后台管理密码,很快便爆破成功了,就是wifi密码少了两个数字(是的,后台密码比Wi-Fi密码更简单。。。不知道他们怎么想的)。
6、进入路由器的后台管理界面,查看所有链接主机的上行速率、下行速率是否有异常,发现果然有一个ip跟其他ip相比,上行速率明显更大,一枝独秀,妖艳得很。于是终于锁定了具体毒源主机的ip
7、剩下的只能把周围机器挨个ipconfig了,然后最终锁定病原体,立马断网防止传播。查看进程,发现某个cmd后台进程的CPU和内存消耗出奇的大,由于时间紧迫,无法做过多研究,上杀毒软件,并跟新系统。
8、联网后,再次抓包验证,发现无扫描现象了。
9、等管理员匆匆茫茫赶过来,我已经把事情解决了,然后嘱咐了他几句:你们这展台。。。病毒培养基啊,所有都是win7系统,还是多年未跟新补丁的win7系统。
大型活动的网络部署中网络安全部分建议:
1、根据敏感程度不同,开多个网络区域,相互之间不可通;
2、同一个网络区域,每个访客之间不通;
3、关闭所有网关的后台管理界面和高危端口;
4、对接入机器做安全加固,系统更新至最新等;
5、网络节点部署需规范,方便后续问题及时定位。
扫一扫
1208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
