- 局域网内高发永恒之蓝病毒,但是发现并没有进行勒索加密的迹象,仅是进行了传播,不过因为病毒会将同一个子网掩码内的所有的ip地址进行一遍arp 广播,所以造成公司局域网性能下降,以及很多服务器出现无法ping通(网关不能及时响应提交的arp申请信息),或者出现ping的延迟较高的现象。暂时解决方法如下:
- 使用wireshark 跟踪局域网内的流量, 主要高发的arp 广播包如下:
判断是否是病毒的方法:
(1) arp包数据非常多
(2) 给不存在的ip地址发送arp数据包
以上两点基本定位为病毒机器
- 根据mac地址简单分析机器类型,主要的网卡类型
VM类型的网卡的一般为workstation 或者是 ESXi的虚拟机,如果是ESXi的机器可以与耿伟或者是赵本帅联系,询问是否有ESXi的病毒机器刚开机或者是回滚。
Pegatron 基本上就是方正的PC机器可能性多一些。
Virtualbox相关的虚拟机基本上为自己机器或者是机房PC机器上面运行的虚拟机。
- 通过ping –a ip 的方式 查找机器名
如果机器名有意义基本可以定位到事发的组别。
如果无意义需要继续分析
- 通过Nmap 查看打开的端口
如图示:
如果3389端口不开 基本上就是开发自己笔记本上面的虚拟机,基本上无法解决 除非是群发邮件
如果80端口打开 可以尝试连接客户端,查看GS用户或者是在线用户,尝试发现是谁在使用该虚拟机
如果1433或者是1521端口打开,尝试连接数据库,查看gspaudit 等的表,尝试发现是谁的虚拟机
如果开启了8080 以及其他端口 则与java 相关开发人员联系
- 如果能够猜中密码进入远程
运行eventvwr 查看票据登录的安全审计记录,查看最近登录的站点名字,定位是谁在远程虚拟机。
7. 我对安全测试这一块的理解实在是太差 不知道有什么好办法能够进入到操作系统内部
也没有脚本还有其他部分, 只能够通过硬猜的方式进行处理, 效果很差
安全测试在后续的工作中非常重要 需要多学习 多积累..
时间: 2024-11-15 14:02:02