飞客蠕虫病毒?分析、定位、处理
******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本
一、防火墙发现告警
近期同一部门两个同事的电脑都有该告警。目的ip:104.18.120.91、104.18.119.91。虽然该部门不能上外网,出于严谨还是决定一探究竟。
初步分析:
百度查询该ip信息得知为美国ip,53端口为dns服务器所开放,主要用于域名解析。应该是某进程访问某一网址去该目的ip请求域名解析。
微步在线先看下该ip情况:
未发现目的有异常。
全盘杀毒,未果。
二、定位
python脚本抓一下哪个进程访问的该ip。
#encoding:utf-8
import os
import sys
import time
import subprocess
print(u'捕获开始')
ip = input("请输入僵尸网络IP: ")
while True:
p = subprocess.run('netstat -ano | findstr " "' + str(ip),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
if p.returncode==0:
print("----std-out------",p.stdout)
astr = p.stdout.split()
print("--len--",type(astr),len(astr))
pid = astr[4]
print("---pid----",pid)
pid = str(int(pid))
ama = 'tasklist | findstr " "' + str(int(pid))
q = subprocess.run(ama, shell=True, stdout=subprocess.PIPE,stderr=subprocess.STDOUT) # 取alist第五个字段为pid
if q.returncode == 0:
print("----stdout------", q.stdout)
blist = q.stdout.split()
process = blist[0]
process = process.decode()
process = str(process)
print('---process处理完成----', process)
r = subprocess.run('wmic process where processid=%d'%(int(pid)),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
if r.returncode==0:
path = str(r.stdout)
print("----stdout------", path)
# 写入log文件中进行记录
f = open('D:/test.txt', 'a')
f.write(time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(time.time())) + " 可疑进程: " + process + " 访问ip: " + ip + "\n")
f.write("进程信息:" + str(r.stdout) + "\n")
f.close()
time.sleep(5)
sys.exit()
elif r.returncode != 0:
print("--wmic--wmic执行异常,正在重试---")
time.sleep(2)
break
elif q.returncode != 0:
print("--tasklist--未发现进程,正在重试---")
time.sleep(2)
break
elif p.returncode!=0:
print("---netstat---未发现PID,正在重试")
time.sleep(1)
continue
运行两天得到结果:先联系联想问一下什么情况:
最后给出结果是lenovovantage的后台程序,服务器在国外,会访问国外服务器,说是不影响使用,卸载了也没关系。应该是误报。呵呵…
先通知用户做卸载处理吧。安抚一下用户受惊的心情。
还是不甘心。。。拿到Lenovo.Modern.ImController.PluginHost.Device
.exe
决定自己用IDA看看到底访问的哪个服务器。
对,就是这个女人
未完待续。。。