木馬? IP未使用卻監控到NAT連線

加密病毒網路攻擊木馬程式

HoyaT 2020-07-13 11:37:21 ‧ 2574 瀏覽

分享至

上個月公司伺服器遭到kupiddion 加密病毒的公司，因此最近不斷的監控ＡＰ的連線狀態，發現一個驚人的情況是，中毒的伺服器ＩＰ已經改掉並且網路線拔除關機了，但NAT上面不斷的監控到沒有使用的舊ＩＰ不停的產生NAT連線

初步懷疑區網內某電腦有木馬病毒作祟，但遇到這種情況真的不知道該從何著手來處理防範

看更多先前的討論...收起先前的討論...

nansen iT邦新手 2 級 ‧ 2020-07-13 12:02:31 檢舉

從Router上看那個IP的MAC是多少，在用MAC address去追機器是哪一台，說不定只是IP被其他機器占用

japhenchen iT邦超人 1 級 ‧ 2020-07-13 12:45:08 檢舉

你把這台分享器級的路由器重開，上面的連線應該只是被Cached起來的記錄

HoyaT iT邦新手 5 級 ‧ 2020-07-13 14:14:48 檢舉

回答一下上述問題
1.ping不到該IP, 而且資料監控或是DHCP配發狀態完全沒有該IP ，嚴格說起來該ＩＰ當下根本不在區網內
2.紀錄是路由器重開過並且重新整理過才拍照的

allen1975 iT邦新手 1 級 ‧ 2020-07-13 18:32:11 檢舉

不知道公司電腦數量多少. 有無網管交換機
如果有應該可以把範圍縮小很多.

nansen iT邦新手 2 級 ‧ 2020-07-14 09:09:50 檢舉

1. ICMP關掉就ping不到不表示不存在
2. DHCP配發使用手動設定IP或由其他台DHCP配發則不會顯示
在同一區網下ping該ip後查詢ARP table是否有mac address一翻兩瞪眼
網路會通L2就不會造假

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mytiny

iT邦超人 1 級 ‧ 2020-07-13 14:55:50

最佳解答

樓主需要更多個工具來蒐集資料作研判
在發生資安事故之後
通常內網中的怪異IP都做不得準
尤其IP最容易假造，MAC有時也不一定正確
所以會需要一些身分的驗證綜合來確定

至於目前的情況，清查資產是必須的
有工具的話，可以看出來設備MAC所得到IP與接口位置的相關性
如果主機曾經有過資安事故
務必清查AD內的帳戶現況與權限
最好能將Server與Client區隔網段
中間的聯繫務必要有AV與IPS防護檢測

由於貴公司內部清況不明
在下僅能依據經驗猜測判斷給予建議
如有錯謬之處還請見諒！

回應 2
分享
檢舉

HoyaT iT邦新手 5 級 ‧ 2020-08-27 23:12:12 檢舉

看起來的確需要一系列的清查動作, 但已經可以確定的是那台server的確有中毒, 重灌後目前正常

另外好奇的問一下 AD的 Server 與Client可以是不同網域阿? 不太懂您說的AV與IPS是什麼再來研究看看

mytiny iT邦超人 1 級 ‧ 2020-08-28 10:15:59 檢舉

最簡單的來說，就是讓Serevr與Client不同網段(不是網域)
這個區隔不是僅用VLAN而是有NGFW或UTM的防火牆
當這樣經防火牆的網段流量就可以做IPS/AV的資安檢查

不過這只是最初步的架構
因為在現階段，AD(或server)被入侵感染的情況很頻繁
才會建議要常常檢查，不要放著都不管，等出事就來不及

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2020-07-14 08:11:07

Vigor 提供將 syslog 寫入 USB
這樣就可以明確看出問題點

回應 1
分享
檢舉

HoyaT iT邦新手 5 級 ‧ 2020-08-27 23:09:32 檢舉

看起來是蠕蟲病毒搞得鬼, 安裝新的防毒軟體後,都會定時跳出偵測到v.exe的蠕蟲病毒出現, 看起來無法根治最後只能重灌系統

不過謝謝你的寶貴建議

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22201 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙