AI 文章摘要
正在生成文章摘要,请稍候...
本文讲述了孙子烧烤作为江苏客户的网络安全服务提供商,帮助其解决端口扫描和对外攻击问题的过程。首先,他们接到了客户关于封禁的通知,随后与网安技术团队合作进行了初步排查。通过检查SSH登录日志,发现了未经授权的登陆行为,进一步排查后确认了恶意扫描程序的存在。
接下来,团队对可疑IP地址进行了深入分析,发现这些IP地址被用于爆破。然后,他们利用微步云沙箱对样本进行了扫描,确认该文件为木马。最后,他们还检查了网络进程和其他相关信息,没有发现异常。
基于以上排查结果,团队建议客户加强网络安全防护,避免使用弱密码,并确保账户、文件权限正确设置,同时定期进行安全扫描。
大家好,我是孙子烧烤,近期我们客户团队为某江苏客户进行恶意扫描木马排查,下面将排查过程分享给大家,具体步骤仅供参考!部分敏感信息已做模糊处理
事情起因是这位江苏客户收到云厂商的封禁,理由是端口扫描、对外攻击
在解封后的第一时间,联系到我们网安技术团队进行排查
进行初步排查,发现SSH登录日志,在2025年6月7日 – 2025年6月14日一共有4次未经授权的登陆行为
排查计划任务时,发现一条每分钟执行的命令
* * * * * /var/tmp/.update-logs/./.b >/dev/null 2>&1 & disown我们立刻排查/var/tmp/.update-logs目录,发现恶意扫描程序所在位置,打开ip文件则查看到了要爆破的ip信息和ip段
经过微步云沙箱扫描,确定为木马文件,检测结果:样本报告-微步在线云沙箱
样本分析报告.pdf
pdf文件
630.1K
后面,我们排查网络进程等其他信息,并未发现异常,因此,本次排查完毕
境外服务器建议做好安全措施,不要使用弱密码,设置好对应用户、文件权限,定期做安全扫描
广告:
© 版权声明
THE END
暂无评论内容