飞客攻击案例：内网服务器大多集中连接到华为S8505

因此，该协议相对较大的流量非常可疑。 另外，CIFS协议在网络协议中也占有很大的比例，该协议主要用于利用网上邻居进行网络共享。 然而管理员告知，网络并没有使用网上邻居进行网络共享，所以这个协议应该是没有流量的，这也是可疑的。 然后我们分析网络中的TCP访问情况，选取10/12-10/14的数据进行分析。 按照“发送TCP同步包”进行排名，如图： 我们看到IP 172.16.1.68发送的TCP同步包； 172.16.1.95； 172.16.1.69； 172.16.1.10； 172.16.1.54等IP都很大，需要比其他IP大很多，但是流量却很小。 这两天的流量大部分在60MB左右。 也就是说，这些IP有很多TCP会话，但是流量却很小。 从分析来看，我们认为这些IP比较可疑，所以我们选择172.16.1.68进行下载分析。 从海量数据中提取出近两天IP 1.68的所有流量。 查看1.68的TCP会话，发现该IP的TCP会话有明显的异常，如图： 如上图所示，我们可以看到1.68正在向139端口发起大量类似的访问内网445转172.16.1.102。 频率高达每分钟数百次。 每个会话中的数据包数量和字节数相同。

这是一次比较明显的异常对话。 此类会话具有明显的暴力破解行为，可以通过“数据流”选项仔细对比。 我们随机选取了两条12包的CIFS协议数据流进行对比，发现只有密码部分的内容发生了变化，如图所示。 ：查看1.68使用的协议，也可以看出该IP的流量主要与CIFS协议有关，如图：对于本次会话的内容，使用科来数据流，然后检查DNS 1.68的请求数据看主要是访问传递了什么内容：（内网机器无法访问外网，但仍然会发送各种请求，但无法得到响应）如上图所示，解析地址IP多为奇怪的域名，如：.ws.；； .ws .这个域名一般情况下是不会出现的。 通过查询这些域名，我们发现这些域名要么没有查到记录信息，要么就是飞科蠕虫使用的域名，如图： 那么根据上述域名，异常的TCP会话，信息根据网络管理员的报告，以及科莱知识库，我们可以得出结论：1.68被飞克蠕虫病毒感染。 于是我们去1.68机器上查看，发现这个IP的用户是一台在内网大厅排队使用的PC。 而且PC机是XP SP2系统，漏洞较多，没有设置系统密码。 杀毒软件的病毒库是2011年6月的，当我尝试使用杀毒软件进行扫查时，杀毒软件自动退出，无法使用。 系统时间也被病毒更改为2004年。

这是一个中毒很深的服务器。 我们建议网络管理员重做PC的系统，设置更安全的策略，并设置系统密码。 基于以上类似分析，我们发现内网飞客蠕虫病毒访问的主机主要包括以下IP：172.16.1.68； 172.16.1.69； 172.16.1.69； 172.16.1.10； 172.16.1.54； 172.16.1.11。 建议断开这些 PC 的连接并进行消毒。 1.3 飞客蠕虫简介 飞客蠕虫是一种传染性极强的蠕虫病毒。 国家计算机应急指挥中心发布的2010年网络安全形势公告显示，全国近10%的电脑感染该蠕虫病毒，并且每月全国都有超过10%的电脑感染该蠕虫病毒。 飞客蠕虫病毒可感染1800万用户，主要依靠网络共享漏洞和U盘、移动硬盘等载体。 主机感染飞客蠕虫的原因主要是由于使用了包含微软MS08-067漏洞的旧系统版本造成的。 如果内网中的一台PC感染了飞客蠕虫，其他密码较弱的系统或没有密码的主机很快就会成为受害者。 通过网络共享进行暴力破解，获取管理员权限，最终导致这些弱PC被感染。 成为肉鸡，被黑客控制。 飞科蠕虫病毒的危害： ● 可导致单位机密信息被盗，如机密文件、各种系统和数据库的密码等。 ● 获取系统密码，严重时可能会导致业务中断。 ● 感染局域网内的其他主机，其强大的传播性使其他薄弱的PC也受到感染，造成大面积感染。

● 大规模感染会消耗防火墙等设备的大量并发网络连接，影响其他PC的正常业务访问（并发连接数是固定的，如果有几十台PC感染飞客蠕虫，所造成的影响）并发连接可能会消耗掉防火墙的大部分连接，普通用户也会受到影响，带宽充足但访问速度会变慢。） 1.4 通过判断网络异常来确定问题的解决。到爆发。 被飞科蠕虫病毒引起之后，解决问题就变得容易了。 借助科力溯源系统，我们可以清楚地了解哪些PC被蠕虫病毒感染，在这些PC上安装相应的微软补丁，然后下载飞科蠕虫专用查杀工具，对这些PC进行针对性查杀。 然后升级最新的杀毒软件并更改系统密码。 经过10月18日上午的紧急处理，问题终于得到控制。 据网管人员介绍，这些PC上已经查杀了很多病毒。 病毒清除并连接网络后，一切正常，业务访问网络也比较顺畅。 很快。 由此我们可以推断整个事件过程：一名应用人员在维护服务器的同时，使用感染蠕虫病毒的U盘或移动硬盘连接网络，导致存在漏洞的服务器感染飞客蠕虫病毒，然后飞客蠕虫对内网其他PC发起攻击，内网像1.68这样没有密码、系统版本较旧、存在重大漏洞的PC被感染，然后1.68继续尝试通过以下方式感染其他PC：网络共享。 PC，内网逐渐多台PC被感染。

建议： ● 关闭服务器上不必要的端口，例如139 等高风险端口。 ● 内网规范使用U 盘、移动硬盘等可移动介质，并使用光盘。 ● 定期检查各服务器的状态，如杀毒软件更新、系统漏洞补丁、密码强度、系统时间等基本参数。 如果发现异常，立即进行故障排除和分析。 ● 特别关注有问题的服务器，彻底查杀并设置密码，等到没有问题再连接网络。 这将确保内部网络上的蠕虫问题不会再次发生。 综上，我们可以看到，科瑞的回溯产品直观、清晰地展示了网络中的流量情况，帮助网络管理者快速发现网络中的异常情况，识别攻击源头。 此次，单位网络中发现飞客蠕虫病毒，有多台PC感染该蠕虫病毒，并呈现逐渐扩大的趋势。 该单位部署了IDS、IPS防病毒软件等安全设备软件，但未能及时发现蠕虫病毒，安全状态不佳。 部署科力回溯分析软件后，不到一个小时就找到了感染飞客蠕虫的主机，并确定是某种蠕虫。 随后网络管理员对症下药，很快解决了长期存在的网络安全问题。 由此可见，科莱回顾性网络分析对于网络管理人员在实际工作中有着巨大的辅助作用。 借助科莱网络分析系统，网管人员可以看穿网络中存在的细小异常情况，并通过一步一步的挖掘和分析找到问题的根源。 这个诊断问题的过程就像一个熟练的医生。 如果没有先进的血液分析仪和B超等设备，很难诊断患者的病情。 如果不能准确诊断，那么治疗就没有目的，当然也是不可能的。 让病人康复。