中了勒索病毒，想要排查网络有没有漏洞，找 360 公司来应急响应可以吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

RANDOM.org 密码生成器

uBlock

Authy

LastPass

FreebuF.com

Beebeeto

Dashlane 密码管理器

这是一个创建于 658 天前的主题，其中的信息可能已经有所发展或是发生改变。

公司有台服务器中了勒索病毒，好在被加密的数据不太重要，但是担心影响其他服务器和办公设备。

现在全部服务器都断网了，想找安全服务公司来排查修复一下漏洞后再联网。

想问下大家有遇到过类似的情况吗，360 公司的应急响应怎么样？联系 360 他们建议我们购买终端杀毒软件，感觉这个装在服务器上会影响服务器性能吧。

中病毒的服务器操作系统是 Windows Server 2012 数据恢复不太抱希望了，现在就是想避免再被攻击。

服务器

病毒

勒索

排查

26 条回复 2024-01-16 09:45:18 +08:00

Xmi080225

2023-12-21 12:02:01 +08:00

服务器开了外网 RDP ？还是局域网内有其它主机开了外网 RDP ，然后服务器开了共享？
没必要找什么 360
把该关的端口关了就行

em70

2023-12-21 12:02:19 +08:00

一定要把 administrator 改名,网上很多扫描器每天在扫,字典攻击进来的

ok47

2023-12-21 12:27:42 +08:00

没有开 3389 端口，在网络设备上开了 8000 端口的映射，可能是从这个端口运行的服务注入进来的，今天检查看到服务的目录下面有很多奇怪的 php 文件

ok47

2023-12-21 12:28:08 +08:00

@em70 真的长记性了

ok47

2023-12-21 12:28:23 +08:00

@Xmi080225 没有开 3389 端口，在网络设备上开了 8000 端口的映射，可能是从这个端口运行的服务注入进来的，今天检查看到服务的目录下面有很多奇怪的 php 文件

darklinden

2023-12-21 13:28:26 +08:00

别暴露可以 rdp 的 win 机器到公网
另起个 linux 只开需要暴露的端口纯转发
如果需要公网 rdp 的,开 ssh tunnel 从另外的跳板机 rdp,跳板机禁用密码

lxyv

2023-12-21 13:31:08 +08:00

全盘搜一下第一个被加密的文件修改时间，如果 log 没被加密，查一下这个时间的所有 log 。这种情况一定要找一家供应商来检查，目的不是指望他们能帮你排查出问题，而是联网之后如果出了没人能背的起的锅，你可以甩给他们。

Xmi080225

2023-12-21 15:31:18 +08:00

如果非要外网用 RDP 的，把默认 3389 改掉，administrator 账户禁止远程登录，换其它账户用来远程登录
这样基本上就不会中勒索病毒了
另外不管有没有开 RDP ，重要资料一定要做好异地备份

registerrr

2023-12-21 15:52:42 +08:00

如果用外网 RDP 一定一定一定不要用弱密码，密码强度务必要比默认生成的密码强度要高高高

gvdlmjwje

2023-12-21 16:54:44 +08:00

我们找的深信服，他们安排人做了一个端口镜像然后分析，后面让他们搭了个 EDR 试用版，在所有服务器上安装，对勒索和漏洞的检测都有，后面就采购了一批。（非广告，你也可以找找其他 EDR 产品）

c0mmand

2023-12-21 16:58:06 +08:00

上面对外有什么服务吗？先找到入口再说。

ok47

2023-12-21 17:44:05 +08:00

@darklinden 学到了，谢谢大佬

ok47

2023-12-21 17:51:26 +08:00

@lxyv 我去检查一下 log 看看。这么说的话，得找个供应商来检查一下

ok47

2023-12-21 17:52:45 +08:00

@Xmi080225 学到了。但挺纳闷的，这次 3389 应该是没开，没有单独做过映射。还得排查看看

ok47

2023-12-21 17:54:10 +08:00

@registerrr 事件日志里看到只暴破了十几次就进来了，但密码也是大小写数字特殊字符都有，感觉可能还有别的问题

ok47

2023-12-21 17:54:57 +08:00

@gvdlmjwje 还以为深信服没有这个业务呢，那我去问问看

ok47

2023-12-21 17:55:49 +08:00

@wuxiao2522 好的，我按这个思路排查看看，谢谢大佬

wedfds

2023-12-21 18:43:14 +08:00

数据定时备份，加一些基础防护

illl

2023-12-21 18:45:23 +08:00 via iPhone

找人众测一下，先找出漏洞来。

YaakovZiv

2023-12-21 23:38:05 +08:00

找人排查预估是可以的，因为我上家公司做云平台运维的时候，某三线城市市政单位就是找的 360 和市公安来济南现场处理的服务器勒索病毒。后来那个城市和 360 的人还签订了三年的合作协议，买了他们的人长期在市公安

registerrr

2023-12-22 10:31:26 +08:00

@registerrr #9 如果密码强度够高，不要用什么弱密码，rdp 就算开了问题也不大。只爆破十几次就进来了，那就不太可能是 rdp 的原因。

WoneFrank

2024-01-02 14:49:10 +08:00

需要安全加固之类的可以联系:YzNkOWQ0NjlkMTVhOTE2MQ==

ok47

2024-01-16 09:40:16 +08:00

@registerrr 是的，安全工程师排查下来发现通过 web 服务的公开漏洞进行攻击的可能性比较大。在 web 服务的目录里能看到很多名字奇怪的文件。

ok47

2024-01-16 09:40:57 +08:00

@YaakovZiv 明白了，谢谢老师

ok47

2024-01-16 09:45:00 +08:00

@wedfds 吸取教训了

ok47

2024-01-16 09:45:18 +08:00

@illl 谢谢老师，我去了解一下