飞客蠕虫病毒?分析、定位、处理

飞客蠕虫病毒?分析、定位、处理

******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本


一、防火墙发现告警
在这里插入图片描述近期同一部门两个同事的电脑都有该告警。目的ip:104.18.120.91、104.18.119.91。虽然该部门不能上外网,出于严谨还是决定一探究竟。
初步分析:
百度查询该ip信息得知为美国ip,53端口为dns服务器所开放,主要用于域名解析。应该是某进程访问某一网址去该目的ip请求域名解析。
微步在线先看下该ip情况:
在这里插入图片描述未发现目的有异常。
全盘杀毒,未果。
二、定位
python脚本抓一下哪个进程访问的该ip。

#encoding:utf-8
import os
import sys
import time
import subprocess
print(u'捕获开始')
ip = input("请输入僵尸网络IP: ")
while True:
    p = subprocess.run('netstat -ano | findstr " "' + str(ip),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
    if p.returncode==0:
        print("----std-out------",p.stdout)
        astr = p.stdout.split()
        print("--len--",type(astr),len(astr))
        pid = astr[4]
        print("---pid----",pid)
        pid = str(int(pid))
        ama = 'tasklist | findstr " "' + str(int(pid))
        q = subprocess.run(ama, shell=True, stdout=subprocess.PIPE,stderr=subprocess.STDOUT)  # 取alist第五个字段为pid
        if q.returncode == 0:
            print("----stdout------", q.stdout)
            blist = q.stdout.split()
            process = blist[0]
            process = process.decode()
            process = str(process)
            print('---process处理完成----', process)
            r = subprocess.run('wmic process where processid=%d'%(int(pid)),shell=True,stdout=subprocess.PIPE, stderr=subprocess.STDOUT)
            if r.returncode==0:
                path = str(r.stdout)
                print("----stdout------", path)
                # 写入log文件中进行记录
                f = open('D:/test.txt', 'a')
                f.write(time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(time.time())) + "   可疑进程: " + process + "  访问ip: " + ip + "\n")
                f.write("进程信息:" + str(r.stdout) + "\n")
                f.close()
                time.sleep(5)
                sys.exit()
            elif r.returncode != 0:
                print("--wmic--wmic执行异常,正在重试---")
                time.sleep(2)
                break
        elif q.returncode != 0:
            print("--tasklist--未发现进程,正在重试---")
            time.sleep(2)
            break
    elif p.returncode!=0:
        print("---netstat---未发现PID,正在重试")
        time.sleep(1)
        continue

运行两天得到结果:在这里插入图片描述先联系联想问一下什么情况:
在这里插入图片描述

在这里插入图片描述
最后给出结果是lenovovantage的后台程序,服务器在国外,会访问国外服务器,说是不影响使用,卸载了也没关系。应该是误报。呵呵…
先通知用户做卸载处理吧。安抚一下用户受惊的心情。

还是不甘心。。。拿到Lenovo.Modern.ImController.PluginHost.Device
.exe
决定自己用IDA看看到底访问的哪个服务器。
在这里插入图片描述
对,就是这个女人
在这里插入图片描述未完待续。。。

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LION-WHY

嘿,留下一分钱,谢啦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值