记一次挖矿病毒的应急响应

挖矿病毒的应急响应"/>

记一次挖矿病毒的应急响应

1.概述

  接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。

  微步上查询了一下，确实都是挖矿告警。

2.排查思路

• 根据通告信息中的地址，询问客户，发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat，所以此地址不是中毒主机。
• 尝试查看路由器中是否存在nat地址转化表，最后发现路由器上是做了基于端口的地址转换，这个方法行不通。
• 思考后决定去客户核心交换机上进行抓包分析。

3.镜像端口配置

  客户设备是一台华为的设备，如下图是模拟的一个拓扑：

  例如配置GigabitEthernet0/0/1端口流量镜像到GigabitEthernet0/0/2上。

observe-port 1 interface g0/0/2 //配置观察接口
interface g0/0/1 //进入被镜像端口
port-mirroring to observe-port 1 both //配置镜像到观察端口

4.抓包结果分析

  配置好相关地址后，使用wireshark进行抓包分析，根据通告内容，因为有主机解析了矿池地址，所以产生了告警。所以使用如下语句过滤数据包：

dns.qry.name =="castaic.vaincues

  成功过滤除了解析矿池的DNS数据包，如下图：

  在相关机器上进行异常进程排查，杀毒成功解决。

5.总结

  这次应急难度不是很大，主要是一个思路和一些设备配置问题。