病毒感染

Windows

右键查看文件属性，查看文件时间

1.5 问题排查

根据事件时间、传播方式进行问题的排查。

1.5.1 Windows 系统排查

1.5.1.1 文件排查

1. 检查桌面及各个盘符根目录下是否存在异常文件。根据文件夹内文件列表

时间进行排序，查找可疑文件；

2. 查看文件时间，创建时间、修改时间、访问时间。对应 linux 的 ctime mtime

atime，通过对文件右键属性即可看到详细的时间（也可以通过 dir /tc 1.aspx 来查

看创建时间）；

3. 使用 systeminfo 命令查看系统补丁情况；

4. 使用 net user 查看系统账户情况，或者通过计算机—右键—管理—本地用

户和组；

5. 借助天擎等杀毒软件查看是否存在异常文件。

1.5.1.2 进程排查

1. 检查是否存在异常进程。使用 netstat -ano 查看目前的网络连接，查看是否

存在可疑 ip、端口、进程；

2. 使用 tasklist 命令查看可疑进程；

3. 检查是否存在异常计划任务；

4. 检测 CPU、内存、网络使用率；（通过资源管理器查看）

5. 注册表项检测。

1.5.1.3 日志排查

查看事件管理器：

系统日志：查看是否有异常操作，如创建计划任务、关机、重启；

安全日志：查看是否有异常的登录行为；

应用日志：查看应用是否有异常程序运行；

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”。

审核登录事件，双击，设置为成功和失败都审核：

 审核策略更改；

 审核登录事件；

 审核对象访问；

 审核进程跟踪；

 审核目录服务访问；

 审核特权使用；

 审核系统事件；

 审核账户登录事件；

 审核账户管理；

1.5.2 Linux 系统排查

1.5.2.1 文件排查

1. 查看桌面是否存在异常文件。针对可疑文件可以使用 stat 进行创建修改时

间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他；

2. 查找 777 的权限的文件 find/ *.jsp -perm 4777 ；

3. 查找隐藏的文件（以 "."开头的具有隐藏属性的文件 ls –al）；

4. 查看 CPU、内存、网络使用率；

5. find / -uid 0 -print：查找特权用户文件；

6. md5sum -b filename：查看文件的 md5 值；

7. rpm -qf /bin/ls：检查文件的完整性（还有其它/bin 目录下的文件）；

8. crontab -u root -l：查看 root 用户的计划任务；

9. cat /etc/crontab 查看计划任务；

10. 查看分析 history (cat /root/.bash_history)，曾经的命令操作痕迹；

11. cat /etc/passwd 分析可疑帐号，可登录帐号。

1.5.2.2 进程排查

1. 使用 netstat 网络连接命令，分析可疑端口、可疑 IP、可疑 PID 及程序进

程；

2. 使用 ps 命令，分析进程

ps -aux：查看进程

lsof -p pid：查看进程所打开的端口及文件

检测隐藏进程：

ps -ef | awk '{print }' | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

1.5.2.3 日志排查

1. 使用 lastlog 命令，系统中所有用户最近一次登录信息；

2. 使用 lastb 命令，用于显示用户错误的登录列表；

3. 使用 last 命令，用于显示用户最近登录信息（数据源为/var/log/wtmp，

var/log/btmp）；

4. utmp 文件中保存的是当前正在本系统中的用户的信息；

5. wtmp 文件中保存的是登录过本系统的用户的信息；

6. 查看 cron.log 中是否有计划任务信息。

1.5.3 网络流量排查

1. 有全流量的记录设备（如天眼）；

2． 分析内网是否针对 445 端口的扫描和 MS17-010 漏洞的利用；

3. 分析溯源被勒索终端被入侵的过程；

4. 分析邮件附件 MD5 值匹配奇安信威胁情报中心的数据判定是否为勒索

病毒；

5. 分析在网络中传播的文件是否被二次打包、进行植入式攻击；

6. 分析在正常网页中植入木马，让访问者在浏览网页时利用 IE 或 Flash 等

软件漏洞的攻击。

1.6问题消除

1.病毒清理及加固：

 安装天擎或其他工具，对被感染机器进行安全扫描和病毒查杀；

 对系统进行补丁更新，封堵病毒传播途径；

 制定严格的口令策略，避免弱口令；

 结合备份的网站日志对网站应用进行全面代码审计，找出攻击者利用

的漏洞入口进行封堵；

 配合全流量设备（如天眼或其他工具）对全网中存在的威胁进行分析，排查问题；

2.感染文件恢复：

 通过奇安信或其他工具提供的解密工具恢复感染文件；

 支付赎金进行文件恢复。