Security Event Record

1、被木马远程控制并感染了飞客蠕虫

1、被木马远程控制

​ 该主机与恶意地址162.212.255.179的TCP9527建立连接,并向其发送包含操作系统、主机名、CPU主频、内存等信息的木马上线数据包。

[PSH,ACK] Seq=1 Ack=1 Win=65535 Len 364

2、感染飞客蠕虫

​ 该办公主机通过请求恶意域名anam0rph.su、orzdwjtvmein.in、ygiudewsqhct.in、bdcrqgonzmwuehky.nl、xdqzpbcgrvkj.ru、somicrososoft.ru获取多个控制端地址195.38.137.100、195.157.15.100、52.28.249.128、176.58.104.168。

与获取到的控制端建立控制通信。其中有飞客蠕虫典型网络行为特征POST /in.php。如下图所示。


###2、1台服务器(IP地址:10.190.112.143)已被境外僵尸网络控制

对电子政务外网多个IP网段进行MS08-067漏洞扫描攻击,并对蒲江县资源中心另一台服务器(IP地址:10.190.112.142)进行Eraseme后门操作,存在严重网络安全风险。

1、通过域名获得C&C服务器地址

​ 蒲江县资源中心的1台服务器(IP地址:10.190.112.143)通过请求恶意域名mail.vspcord.com获取境外C&C服务器IP地址212.61.180.10(荷兰)。如图-1所示。

2、使用IRC协议上线

该服务器通过TCP555端口使用IRC协议上线。如图-2所示。

Comments

⬆︎TOP