一、背景
几周前,我接到某单位管理人员的电话,称“您好,我单位某系统遭受攻击,现系统已瘫痪(想到系统已瘫痪,我的心里特别慌张,要写溯源报告了),应用无法使用,需到现场进行排查”。我简单了解了网络情况后,匆忙赶往客户现场。
通过电话了解到的基本信息是:该系统已处于瘫痪状态、系统位于内网未对互联网开放端口、操作系统为Windows Server 2008、已进行断网处理。
二、现场排查
到达客户现场后,我再次与系统管理人员确认情况,得到的信息与电话沟通的内容大致相同。原本打算先进入系统查看情况,但因有其他厂家的人员在操作,我不好意思打扰,只能等待。等待了一个小时后,他主要查看系统安全日志,追溯到事发前一周的时间,但并未发现任何异常。如果是我操作,也会先查看日志。
2.1、开始排查
在等待和其他人员的排查后,系统安全日志上并未发现异常问题。想到系统瘫痪,我有了新的想法:
然而,考虑到该系统未对互联网开放应用,我的想法无法成立,一时之间思路枯竭,感觉刚接手鼠标和键盘就无从下手。冷静下来后,我决定先查看网络活动的TCP连接情况。于是我使用了
netstat -ano
命令来检查TCP连接情况,输入命令后,惊讶地发现有大量的TCP连接,足足用了2分钟才刷新完成,刷新后发现有大量的TIME_WAIT状态的连接。
为了更清晰地查看,我使用了
netstat -ano | more
命令,一页一页地翻阅,发现单位内部与该应用系统通信的IP地址的40000或50000以上的端口均处于TIME_WAIT状态。这让我想到了Windows 2008 R2的一个BUG,该BUG导致系统启动后497天后,TIME_WAIT状态的TCP/IP端口不会被关闭。因此,TCP/IP端口可能会被耗尽,无法创建新的TCP/IP会话。
我将这一发现反馈给管理人员,并询问了系统的开机时间,得知系统已开启500多天。管理人员对此并不完全接受,并提出了新的问题(我开始有些慌张,难道不是这个问题吗)“后台程序出现接口无法调用的问题”:
AppMall应用商店
AI应用商店,提供即时交付、按需付费的人工智能应用服务
56 查看详情
看到相关报错后,我更加确认了我的想法。为了验证,我向管理人员展示了之前看到的博客和微软的公告,最终确认了问题。
相关链接如下:
确认问题后,我进一步检查了系统进程和服务,发现系统中存在WannaCry勒索病毒的服务,但未发现相关勒索病毒进程,并在杀毒软件的恢复区发现了WannaCry的文件。
通过询问得知,该病毒在2018年6月已被删除过,但由于系统未重启,服务仍然存在。最后,我清理了注册表。
完成相关操作后,我联系管理员重启系统,整个过程不到半小时,最终解决了问题。
三、总结
通过这次应急响应,我认为管理人员提供的信息有时可能与应急人员的需求不一致,可能会误导应急人员。作为应急人员,应具备强烈的逻辑和分析能力,同时需要自信。
新手上路,大佬勿喷,感谢。
以上就是分享一次应急响应简述的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/403396.html
微信扫一扫 
支付宝扫一扫 
