上周发生了一起很惊险的网络安全事件,紧急加班处理了,所幸有惊无险,趁今天有空,赶紧沉淀下。
起因是个别部门微信群里反馈网络速度慢,这种事隔三岔五就会发生,基本上是违规下载导致,没太在意,让驻场上交换机看下流量发现出口并没有打满。
继续看该部门所在楼层的汇聚交换机发现问题,445的访问最大,筛选后发现有多台机器发起的内网横向扫描。
找源头机器,看进程基本不用排查,一个叫qwleiur.exe的进程让CPU 100%,简单看了下确定是挖矿,还发现一个saslkdjf.exe开了很多端口,都干掉后世界清净了。
但是诡异的是第二天又出现这个问题,另外一台机器,一模一样的现象,只是名字和路径变了,怀疑应该是有内网机器被人搞了……
下楼抽根烟想了想,总是排查交换机日志不是办法,交换机日志没留存,每次感染似乎都发生在下班时间,等上班了日志都冲没了,
问了几个供应商都建议搞个商业蜜罐,但这费用……反手搜不收费的蜜罐,最终选了两个简单好用的部在vmware里,
果然晚上抓到鬼了,供机都是在下班时间发起的,发起不仅扫445,还扫描了其他服务,下图:
这个是扫445、135的
63段是给“微PN”拨入用的,查日志发现登录IP在境外,是销售的账号,弱password……
觉得效果挺好就分配了一台机器长期装这个不收¥软件,还蛮有意思的。
