客户打电话给我说,发现内网有点不对劲,有些终端被断网几分钟,在FW上还发现了DOS攻击事件,于是上门排查
现场环境:
1、出口部署某公司FW;
2、FW下联深信AC,网桥部署,控制用户上网行为及流控;
3、AC下联核心交换机,再下来就是二层交换机,连接内网;
4、以下是客户拓扑图
问题现象:
查看安全日志,发现内网有DOS攻击事件,日期为8月2号
处理过程:
1、查看问题主机任务管理器,未发现异常情况,有可能被隐藏进程;
2、使用Autoruns查看服务、WMI、启动项等未发现异常;
3、开始怀疑是蠕虫病毒导致这个问题,使用专杀工具进行查杀,并没有卵用;
4、于是申请了EDR试用授权,在受害终端上安装EDR客户端,进行全盘查杀,发现Trojan木马;
5、将文件上传到微步等平台进行检测,均检测为恶意文件;
6、在内网所有问题终端上安装EDR客户进行全盘查杀;
7、持续观察网络环境是否有改善;
处置结果:
处置完成,查杀完成后内网未出现DOS攻击导致断网情况。
原文始发于微信公众号(菜鸟小新):记一次病毒应急
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论