1.概述
接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。
微步上查询了一下,确实都是挖矿告警。
2.排查思路
- 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。
- 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。
- 思考后决定去客户核心交换机上进行抓包分析。
3.镜像端口配置
客户设备是一台华为的设备,如下图是模拟的一个拓扑:
例如配置GigabitEthernet0/0/1端口流量镜像到GigabitEthernet0/0/2上。
observe-port 1 interface g0/0/2 //配置观察接口
interface g0/0/1 //进入被镜像端口
port-mirroring to observe-port 1 both //配置镜像到观察端口
4.抓包结果分析
配置好相关地址后,使用wireshark进行抓包分析,根据通告内容,因为有主机解析了矿池地址,所以产生了告警。所以使用如下语句过滤数据包:
dns.qry.name =="castaic.vaincues.com
成功过滤除了解析矿池的DNS数据包,如下图:
在相关机器上进行异常进程排查,杀毒成功解决。
5.总结
这次应急难度不是很大,主要是一个思路和一些设备配置问题。
848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
