求助大佬帮忙看一下这个病毒
我的电脑好像中毒了,一直不停的在扫描另一台电脑的8860端口,源端口一直在变换,都是这种大端口类似于50956,通过火绒和火绒剑查杀都查不到问题,通过cmd查看开放端口定位pid找到调用了system和svchost两个系统程序,请问这个我该怎么排查怎么处理下面是蜜罐捕获的信息,好像是属于apt攻击类型的
节点名称: 内置节点
节点IP: 192.168.1.222
攻击类型: scan
扫描类型: TCP
扫描端口: 8860
蜜罐类别:
蜜罐类型:
蜜罐名称:
帐号信息:
源IP: 192.168.1.85
源端口: 50956
目的IP: 192.168.1.222
目的端口: 8860
地理位置: 局域网
威协情报: 白名单,保留地址
攻击时间: 2024-03-18 16:45:35
攻击行为:
威胁等级:
攻击详情: PACKET: 62 bytes, wire length 62 cap length 62 @ 2024-03-18 16:45:24.660912 +0800 CST
- Layer 1 (14 bytes) = Ethernet {Contents=[..14..] Payload=[..48..] SrcMAC=00:15:5d:01:50:0a DstMAC=00:15:5d:01:50:24 EthernetType=IPv4 Length=0}
- Layer 2 (20 bytes) = IPv4 {Contents=[..20..] Payload=[..28..] Version=4 IHL=5 TOS=0 Length=48 Id=25775 Flags=DF FragOffset=0 TTL=128 Protocol=TCP Checksum=4501 SrcIP=192.168.1.85 DstIP=192.168.1.222 Options=[] Padding=[]}
- Layer 3 (28 bytes) = TCP {Contents=[..28..] Payload=[] SrcPort=50956 DstPort=8860 Seq=2132355938 Ack=0 DataOffset=7 FIN=false SYN=true RST=false PSH=false ACK=false URG=false ECE=false CWR=false NS=false Window=8192 Checksum=19063 Urgent=0 Options= Padding=[]} 来自hfish官网HFish通过节点端构造“蜜罐服务”,因此,部署节点的机器不建议运行任何正常业务,但很多用户往往会将正常业务使用的笔记本、虚拟机作为节点机器。
这种情况下,扫描数据常常会记录下用户软件访问网络的信息,利用Windows用户中,HFish经常检测到TCP/445端口的被访问或访问情况。 process monitor 看一下 system和svchost两个进程的子进程 ,tcp viewer ,看一下进程的端口占用,找到文件或者进程参数, 大概就离真相不远了。
页:
[1]