概述
不同应急事件响应方式不同,建议大家阅读以下案例,解决自己当前的困扰,当然也可以根据自己的经验对文章进行补充和修正,欢迎在评论区留言。
案例1
事件概述
某安服团队接到某政府部门的远程应急响应求助,要求对被勒索服务器进行排查分析并溯源。
排查溯源
1、应急人员对被感染的服务器进行排查分析,通过加密文件确认感染了VoidCrypt勒索病毒。
2、对服务器A(IP:x.x.x.6)进行日志分析,发现该日志中存在大量用户名口令爆破痕迹,通过登陆行为分析发现,内网服务器B(IP:x.x.x.4),于一天前成功远程登录服务器A,新建账户Administrat0r,并上传黑客工具,对内网进行扫描。
3、对服务器B进行日志分析发现,服务器B的日志中存在大量来自服务器C(IP: x.x.x.24)的暴力破解记录,爆破成功后服务器C远程登录服务器B, 并新建账户Administrat0r,上传黑客工具,再次对内网进行扫描。
4、对服务器C进行日志分析发现,该日志中存在大量来自公网IP的暴力破解行为和爆破成功的记录,查看主机进程发现存在FRP代理程序,