GhostPetya勒索病毒
该怎么做:
1)未部署端点安全的终端应急解决方案
1做好重要文件的备份工作(非本地备份)。
3利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445
2开启系统防火墙。
端口的服务)。
4打开系统自动更新,并检测更新进行安装。
5停止使用WindowsXP、Windows 2003等微软已不再提供安全更新的操作
系统。
6如无需使用共享服务建议关闭该服务。
2)已部署端点安全的终端应急解决方案
①如果用户已经部署终端管理类产品,可通过终端管理软件进行内网打补丁。
②通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。
③ 开启文件审计,只允许word.exe,explorer.exe等对文件访问。
3)已经感染应急解决方案
1)断开网络连接,阻止进一步扩散。优先检查未感染主机的漏洞状况(可直接联系网御星云公司,提供免费检测工具使用),做好漏洞加固工作后方可恢复网络连接。
2)已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接
4)预防措施:
1、打补丁:及时给系统打补丁,修复漏洞。
2、装杀软:安装杀毒软件,及时更新病毒库。开启防火墙,并升级到最新版本阻止勒索病毒与其C&C服务器通信。
3、做备份:定期对重要文件以及数据库做非本地备份。电脑开启系统备份,并添加保护(这样可通过卷影备份将系统恢复到被加密之前的状态)。
4、备份恢复:如果事先已对关键文件做了备份,在确保已清除病毒情况下可做数据备份恢复。如果卷影备份未被勒索病毒删除,可通过卷影备份将系统恢复到
未感染勒索病毒的时间点。
5、改密码:使用长度大于10位的复杂密码。
6、加限制:禁用GUEST来宾用户。尽量不要使用局域网共享,或把共享磁盘设置为只读属性,不允许局域网用户改写文件。尽量关闭不必要的端口,如:445、
135、139、3389、5900。
7、防钓鱼:不要点击来源不明的邮件以及附件,钓鱼邮件是勒索病毒的重要传播源。
DDOS
ddos攻击如何去防范?
对于低网络层的DDoS攻击的防护手段,如 丢弃第一次SYN包.上流量防护设备,上WAF封禁地址等。
比较难缠的是第七层,第八层的CC攻击,【它会找到目标网站上比较消耗资源的关键位置,重复发起攻击以消耗CPU/内存/数据库IO等资源】
目前的应付手段有: 【优化资源消耗高位置的代码,增加硬件设备,上云,购买专业安全公司的安全服务。】
除此之外, 【隐藏服务器的真实IP、上云WAF、CDN、负载均衡等设备,或者暂时将域名解析到公安网警网站等也是可以作为选择方案】
挖矿木马
如何排查?
首先挖矿木马是占用系统资源进行挖矿行为,常见的遭遇挖矿会有以下行为:
1)系统响应缓慢
2) CPU/显卡使用率过高
3) 内存/带宽占用高
登录进可疑主机后,可以通过以下方式确认挖矿木马:
1)查看进程(系统命ps、ls令有可能被替换)
2)检查日志、检查系统用户
3)发现异常文件
发现挖矿病毒的应急操作:
一旦发现服务器被挖矿,应该首先查看挖矿进程所属的用户,
根据挖矿进程的运行用户去排查该用户下是否还运行着其它进程,
确定这些进程是否有上述经常被黑客利用的漏洞。
如果有常见的漏洞,则应该重点对此进行排查。
如何清理挖矿木马?
1)及时隔离主机
2)阻断与矿池的通讯
3)清除定时任务
4)清除启动项
5)清除公钥文件
6)kill挖矿进程