99黄色视屏,人妻色色,91国内偷拍,处一女一级a一片,最黄国产操屄视频,sv天堂网,免费又色又爽又黄的成人用品,淫色五月

前言

人往往就是這個(gè)樣子，一個(gè)人的時(shí)候是一種樣子，好多人聚在一起的時(shí)候就會(huì)完全變成另外一種樣子。-------《白鹿原》陳忠實(shí)

start

某單位接到上級單位通報(bào)存在挖礦病毒，通報(bào)的地址0.58是一臺(tái)路由器的地址，拓?fù)淝闆r是該單位出口是一臺(tái)路由器，路由器的鏡像接口接到上級單位的感知設(shè)備上，出口地址肯定是做了NAT轉(zhuǎn)換，所上級單位下發(fā)的通告中受害IP只是一臺(tái)路由器。安全設(shè)備上未能發(fā)現(xiàn)有效信息，只能人工去分析。通報(bào)中存在四個(gè)危險(xiǎn)礦池域名：

channel.vaincues.com

doc.lienous.cf

fillmore.trovuier.com

castaic.vaincues.com

First

思路真的很重要，既然通報(bào)是挖礦病毒，我們首先是要清楚挖礦病毒的行為特征。

挖礦病毒下載到本地后，利用被入侵計(jì)算機(jī)的算力，運(yùn)行特定算法，挖掘加密數(shù)字貨幣，與礦池服務(wù)器通信后得到相應(yīng)的比特幣。所以會(huì)導(dǎo)致CPU/GPU使用率較高，系統(tǒng)卡頓，部分服務(wù)無法正常運(yùn)行，這也是挖礦木馬最明顯的特點(diǎn)，在內(nèi)網(wǎng)的挖礦木馬會(huì)一直請求與外網(wǎng)礦池服務(wù)器請求連接。（本次應(yīng)急響應(yīng)的網(wǎng)絡(luò)環(huán)境即為只連接上下級單位的ZW內(nèi)網(wǎng)，無外網(wǎng)環(huán)境）

淦

考慮以上，因?yàn)樯霞墕挝坏母兄O(shè)備是在出口路由器之外的，既然檢測到了挖礦病毒，那異常的流量行為肯定過內(nèi)網(wǎng)核心交換機(jī)，來到機(jī)房，wireshark接內(nèi)網(wǎng)核心交換機(jī)鏡像流量口抓包就沒錯(cuò)，通報(bào)顯示有域名地址，wireshark抓的包過濾DNS，過濾命令

dns.qry.name?==?"castaic.vaincues.com"

DNS是實(shí)現(xiàn)域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，域名和IP地址相互轉(zhuǎn)換的過程叫做域名解析，用戶通過容易記憶的域名訪問網(wǎng)絡(luò)資源。DNS域名解析服務(wù)器，承擔(dān)域名到IP地址解析或者IP地址到域名的解析工作。DNS協(xié)議運(yùn)行在UDP協(xié)議之上，使用53端口號

2.6是DNS服務(wù)器地址，因?yàn)樵趦?nèi)網(wǎng)，DNS服務(wù)器上沒有與威脅域名對應(yīng)的IP地址，所以DNS服務(wù)器的地址也會(huì)有解析記錄，14.87是上級領(lǐng)導(dǎo)的機(jī)器，不在客戶這里，但是也告知客戶了，基本可以確定客戶現(xiàn)場的兩臺(tái)機(jī)器，171.161，171.164，找客戶相關(guān)人員看這是哪間辦公室的機(jī)器。

找到機(jī)器后，發(fā)現(xiàn)是兩臺(tái)服務(wù)器，CPU，帶寬占比都不高，因?yàn)橥诘V活動(dòng)還沒開始，木馬只是一直向公網(wǎng)危險(xiǎn)域名請求鏈接，在純內(nèi)網(wǎng)哈哈哈所以就請求不到。服務(wù)器上安裝了某絨，殺了一遍沒有反應(yīng)，上某0，直接查殺出來三個(gè)高危，所以在應(yīng)急響應(yīng)的時(shí)候，最好要多準(zhǔn)備幾個(gè)AV查殺，一般常見的蠕蟲，勒索，挖礦木馬不會(huì)像APT那樣做隱匿或者免殺，多換幾個(gè)AV基本上一殺一個(gè)準(zhǔn)。

重新調(diào)整下wireshark過濾器，tcp.port == 445 || udp.port == 445，查看一下高危445端口有無異常，意外收獲，發(fā)現(xiàn)171.222這臺(tái)機(jī)器在一直請求公網(wǎng)，覺得有問題，去機(jī)器上看下。