V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ok47
V2EX  ›  信息安全

中了勒索病毒,想要排查网络有没有漏洞,找 360 公司来应急响应可以吗?

  •  
  •   ok47 · 2023-12-21 11:52:54 +08:00 · 2968 次点击
    这是一个创建于 367 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有台服务器中了勒索病毒,好在被加密的数据不太重要,但是担心影响其他服务器和办公设备。

    现在全部服务器都断网了,想找安全服务公司来排查修复一下漏洞后再联网。

    想问下大家有遇到过类似的情况吗,360 公司的应急响应怎么样?联系 360 他们建议我们购买终端杀毒软件,感觉这个装在服务器上会影响服务器性能吧。

    中病毒的服务器操作系统是 Windows Server 2012 数据恢复不太抱希望了,现在就是想避免再被攻击。

    26 条回复    2024-01-16 09:45:18 +08:00
    Xmi080225
        1
    Xmi080225  
       2023-12-21 12:02:01 +08:00   ❤️ 2
    服务器开了外网 RDP ?还是局域网内有其它主机开了外网 RDP ,然后服务器开了共享?
    没必要找什么 360
    把该关的端口关了就行
    em70
        2
    em70  
       2023-12-21 12:02:19 +08:00   ❤️ 1
    一定要把 administrator 改名,网上很多扫描器每天在扫,字典攻击进来的
    ok47
        3
    ok47  
    OP
       2023-12-21 12:27:42 +08:00
    没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
    ok47
        4
    ok47  
    OP
       2023-12-21 12:28:08 +08:00
    @em70 真的长记性了
    ok47
        5
    ok47  
    OP
       2023-12-21 12:28:23 +08:00
    @Xmi080225 没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
    darklinden
        6
    darklinden  
       2023-12-21 13:28:26 +08:00   ❤️ 1
    别暴露可以 rdp 的 win 机器到公网
    另起个 linux 只开需要暴露的端口纯转发
    如果需要公网 rdp 的,开 ssh tunnel 从另外的跳板机 rdp,跳板机禁用密码
    lxyv
        7
    lxyv  
       2023-12-21 13:31:08 +08:00   ❤️ 1
    全盘搜一下第一个被加密的文件修改时间,如果 log 没被加密,查一下这个时间的所有 log 。这种情况一定要找一家供应商来检查,目的不是指望他们能帮你排查出问题,而是联网之后如果出了没人能背的起的锅,你可以甩给他们。
    Xmi080225
        8
    Xmi080225  
       2023-12-21 15:31:18 +08:00   ❤️ 1
    如果非要外网用 RDP 的,把默认 3389 改掉,administrator 账户禁止远程登录,换其它账户用来远程登录
    这样基本上就不会中勒索病毒了
    另外不管有没有开 RDP ,重要资料一定要做好异地备份
    registerrr
        9
    registerrr  
       2023-12-21 15:52:42 +08:00   ❤️ 1
    如果用外网 RDP 一定一定一定不要用弱密码,密码强度务必要比默认生成的密码强度要高高高
    gvdlmjwje
        10
    gvdlmjwje  
       2023-12-21 16:54:44 +08:00   ❤️ 1
    我们找的深信服,他们安排人做了一个端口镜像然后分析,后面让他们搭了个 EDR 试用版,在所有服务器上安装,对勒索和漏洞的检测都有,后面就采购了一批。(非广告,你也可以找找其他 EDR 产品)
    wuxiao2522
        11
    wuxiao2522  
       2023-12-21 16:58:06 +08:00   ❤️ 1
    上面对外有什么服务吗?先找到入口再说。
    ok47
        12
    ok47  
    OP
       2023-12-21 17:44:05 +08:00
    @darklinden 学到了,谢谢大佬
    ok47
        13
    ok47  
    OP
       2023-12-21 17:51:26 +08:00
    @lxyv 我去检查一下 log 看看。这么说的话,得找个供应商来检查一下
    ok47
        14
    ok47  
    OP
       2023-12-21 17:52:45 +08:00
    @Xmi080225 学到了。但挺纳闷的,这次 3389 应该是没开,没有单独做过映射。还得排查看看
    ok47
        15
    ok47  
    OP
       2023-12-21 17:54:10 +08:00
    @registerrr 事件日志里看到只暴破了十几次就进来了,但密码也是大小写数字特殊字符都有,感觉可能还有别的问题
    ok47
        16
    ok47  
    OP
       2023-12-21 17:54:57 +08:00
    @gvdlmjwje 还以为深信服没有这个业务呢,那我去问问看
    ok47
        17
    ok47  
    OP
       2023-12-21 17:55:49 +08:00
    @wuxiao2522 好的,我按这个思路排查看看,谢谢大佬
    wedfds
        18
    wedfds  
       2023-12-21 18:43:14 +08:00   ❤️ 1
    数据定时备份,加一些基础防护
    illl
        19
    illl  
       2023-12-21 18:45:23 +08:00 via iPhone   ❤️ 1
    找人众测一下,先找出漏洞来。
    YaakovZiv
        20
    YaakovZiv  
       2023-12-21 23:38:05 +08:00   ❤️ 1
    找人排查预估是可以的,因为我上家公司做云平台运维的时候,某三线城市市政单位就是找的 360 和市公安来济南现场处理的服务器勒索病毒。后来那个城市和 360 的人还签订了三年的合作协议,买了他们的人长期在市公安
    registerrr
        21
    registerrr  
       2023-12-22 10:31:26 +08:00   ❤️ 1
    @registerrr #9 如果密码强度够高,不要用什么弱密码,rdp 就算开了问题也不大。只爆破十几次就进来了,那就不太可能是 rdp 的原因。
    WoneFrank
        22
    WoneFrank  
       355 天前
    需要安全加固之类的可以联系:YzNkOWQ0NjlkMTVhOTE2MQ==
    ok47
        23
    ok47  
    OP
       341 天前
    @registerrr 是的,安全工程师排查下来发现通过 web 服务的公开漏洞进行攻击的可能性比较大。在 web 服务的目录里能看到很多名字奇怪的文件。
    ok47
        24
    ok47  
    OP
       341 天前
    @YaakovZiv 明白了,谢谢老师
    ok47
        25
    ok47  
    OP
       341 天前
    @wedfds 吸取教训了
    ok47
        26
    ok47  
    OP
       341 天前
    @illl 谢谢老师,我去了解一下
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2740 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:53 · PVG 17:53 · LAX 01:53 · JFK 04:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.