0x01 事情概述

前一段時間接到了銷售給過來的消息說某單位服務器出現問題了，但是出問題的是某雲服務器，出現外聯德國的行爲，告警行爲遠控，可能沒有日誌，還比較急，讓先支持處置，有可能的話幫忙溯源好抓人，給了個處置對的第三方師傅。

0x02 分析

畢竟給的信息是外聯遠控，如果是外聯的情況下一般就要考慮是否是灰黑產，這種情況下出現在個人終端的可能下要大於服務器，所以這個時候基本上就是殺毒，沙箱運行看是否會出現外聯行爲，如果是遠控類木馬的情況下，一般服務器被上傳的可能性比較高，釣魚類的可能是個人終端，這是基於服務關係來分析的。

0x03 遠程處置

第三方老師傅給了個vpn讓先給遠程看一下，正常情況下肯定是先要考慮備份鏡像，在鏡像中做操作，如果需要備份鏡像的話這裏我推薦使用``FTK``，備份之後再轉格使用vm打開就ok了，比較容易上手操作。在物理機上直接操作會破壞證據，但是根據給的外聯地址去進行信息蒐集肯定是攻擊者掛的代理地址，沒有實際意義，沒有高交互的蜜罐的條件下想要實現反制和溯源的基本上是沒有可能的。

0x04 排查

火絨殺毒

windows日誌查詢

eventvwr

發現日誌並未被清除，如果說是實現了遠控，起碼就操作者行爲來講，還是講武德的。

windows日誌分爲五類

應用程序日誌
安全日誌
Setup日誌 #安裝日誌
系統日誌
Forwarded Events日誌 #轉發日誌

這裏主要看應用程序日誌和安全日誌即可，應用程序日誌即安裝應用程序產生的事件，安全日誌主要記錄用戶操作產生的日誌，例如登入/登出，清除日誌等。

事實上並沒有異常的登錄事件，從出現問題到服務器關掉的登錄事件以及操作日誌來說也沒有問題

查看定時任務

　【----幫助網安學習，以下所有學習資料免費領！加vx：yj009991，備註 “博客園” 獲取！】

　① 網安學習成長路徑思維導圖
　② 60+網安經典常用工具包
　③ 100+SRC漏洞分析報告
　④ 150+網安攻防實戰技術電子書
　⑤ 最權威CISSP 認證考試指南+題庫
　⑥ 超1800頁CTF實戰技巧手冊
　⑦ 最新網安大廠面試題合集（含答案）
　⑧ APP客戶端安全檢測指南（安卓+IOS）

翻了一遍定時任務並未有新創建的定時任務

熟悉winserver2012的都清楚裝機初始的自動任務都存在，另外無其他特殊的計劃任務。

net user

無新增用戶

就單純從業務來講，不牽涉到內網部分，所以也根本不擔心內網橫向的風險。斷網條件下是無法通過查看連接狀態判斷是什麼程序觸發的，分析業務盤的文件

這個時候服務沒有起，可以發現使用的中間件，jar包是2017年的，但是有沒有打補丁不清楚，因爲我沒找到的patch文件以及其它像是weblogic的補丁jar包，這裏可能會有人有疑問，沒看見包就沒打補丁麼，不接受槓精提問，只是分析而已，這個時候跟開發和運維對接可以確定中間件服務對公網有映射，查看文件目錄，因爲查殺結果並沒有出來，在文件目錄下發現存在惡意文件