提到挖矿木马时,一部分人一脸困惑
挖矿不用挖机?木马怎么挖?
老实说,遇到这种,小编也是无言以对。
另有人知道挖矿木马是什么,但他很不屑
不就是系统卡一点慢一点嘛,啥破坏都没有,用不着大惊小怪吧。
这位童鞋,你大错特错了,警惕性已低于及格线,得回炉修炼一下。
挖矿木马不是所谓“良性”病毒,除了影响系统运行速度,让资源占用率飙升,挖矿木马还会普遍留置后门,中了挖矿木马,企业机密信息就岌岌可危了。今天这篇文章通过真实感染挖矿木马案例分析,教会大家发现此类病毒攻击时如何做出应急响应动作步骤方法,将其危险降到最低。一定要看到最后哦~
案例解析
某日,安服团队接到某政府部门应急请求,其安全设备检测到挖矿木马外连告警,内部多台服务器感染挖矿木马,需要进行排查分析并溯源。
安服应急人员到达现场后,通过排查安全设备告警日志、受害主机日志以及对木马样本进行分析发现,内网多台Web应用服务器对外开放SSH服务22端口并且使用相同的弱口令、多台受害服务器均被植入SSH扫描暴破脚本和挖矿木马程序,并设置为开机自启动。
经过最终研判分析确定,攻击者首先对网站应用服务平台进行端口探测,发现开放22端口SSH服务,对SSH服务进行弱口令暴破成功登录服务器,随后植入挖矿木马和SSH扫描暴破脚本并添加至服务器自启动项,攻击者采用相同的密码利用SSH扫描暴破脚本对内网服务器进行暴破,并植入挖矿木马,最终导致内网多台服务器沦陷。
根据上述案例我们发现随着各种网络攻击事件频繁发生,也让我们不得不更加重视网络安全应急响应,以便受到攻击时迅速的做出应对。那么当网络安全事件发生时,如何有效的做出应急响应呢?
第一步
快速的控制和隔离关键系统
隔离受感染的系统,防止攻击蔓延。
第二步
收集攻击的证据
在处理过程中需要确保不丢失关键的数据和日志,收集攻击的证据不仅可以帮我们理解攻击的性质,还可以在事后追溯攻击者。
第三步
及时通知执法部门或网络安全机构
对于严重的网络攻击,任何形式的隐瞒或延迟披露信息,都有可能产生负面后果。
第四步
系统的修复和恢复工作
在攻击得到控制之后,必须修补安全漏洞,清除恶意代码,恢复备份数据,让系统重新正常运行。
第五步
制定后续计划
加强网络安全措施,加大员工培训力度,定期进行安全演练,防止类似事件再次发生。
第六步
总结经验
将每一次的网络安全事件响应当作宝贵的经验教训,改进应急响应策略,提升应对网络安全攻击的能力。
应急响应作为一项综合性工作,不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,对安全管理也有很高的要求。
因时长原因小编无法为大家一一讲解,想要了解更多应急响应方面的知识分享,可以关注我们知白讲堂网站,里面有《安全运维之应急与响应》的在线课程供大家学习,课程主要讲解了Windows与Linux主机入侵排查思路,以及针对Web攻击的应急响应,可有效提升个人应急响应能力。
原价198元,现只需9.9元
仅限20人
购买课程
13401663881
此外,国家互联网应急中心CNCERT推出的“CCSC网络安全能力认证培训”就是面向安全管理、应急处置、应急响应、安全测试、安全运维等岗位人员开展的专业能力提升培训,通过培训、演练、考试等方式不仅可以帮助您掌握各类安全事件对应的安全防护方法和解决方案,还能通过考核获得相应证书。想提升能力、改变现状、为自己从业能力镀金的童靴们可以咨询报考~
应急响应实例讲解丨挖矿木马治理解决方案
