V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
billowssun123
V2EX  ›  问与答

有懂运维、或者网络安全的老哥吗,帮我看看这是啥情况?

  •  
  •   billowssun123 · 2023-05-21 23:22:30 +08:00 · 1738 次点击
    这是一个创建于 552 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我用 clash 被公司网络部通知,这是 clash 真的带毒?还是什么情况?

    事件描述
    每日巡检中用户安全板块发现此 P 地址被攻陷
    处理过程
    1 、为保证网络安全,首先通过 MAC 地址找到
    交换机对应端口,使用 shutdown 命令禁用网
    络。
    2 、分析病毒类型:
    安全事件一般分为三种视角,1.外到内 2.内到
    外 3 内到内
    通过防火墙日志分析,当前病毒威胁类型为僵
    尸网络,标签 coinmineri 这类型的挖矿病毒,通
    常是内部电脑中毒,向外部攻击服务器上传数
    据被防火墙检测出而产生的。通过防火墙日志
    分析,发现发起请求的源端口为 58850 ,再源
    主机上利用 netstat-aon|findstr"58850"和 tas
    klist|findstr"4992"命令定位病毒源程序。
    病毒源程序为:clash-core-service.exe
    同时分析系统日志,系统任务计划程序,发现
    此病毒文件每天定时执行。
    3 、处理病毒:
    彻底卸载病毒源程序,彻底删除源程序文件。
    终止并删除病毒源程序定时计划任务。
    4 、恢复网络、并持续跟踪观察此 P 在防火墙日
    志记录。
    18 条回复    2023-11-03 10:04:40 +08:00
    hefish
        1
    hefish  
       2023-05-21 23:30:57 +08:00
    你用的啥版本啊。 我用的原版,没看到有 clash-core-service.exe 这个。
    要不你也搞个原版看看?
    billowssun123
        2
    billowssun123  
    OP
       2023-05-21 23:34:03 +08:00
    @hefish 是原版 clash for windows 官方版本 这个进程我问了别人 他们说有
    hefish
        3
    hefish  
       2023-05-21 23:36:28 +08:00
    @billowssun123 哦。。也许是你开了 service mode 。 我没开。。。要不你也不开看看?
    illl
        4
    illl  
       2023-05-21 23:51:05 +08:00 via iPhone
    我记得好像之前爆出过漏洞,可以 rce ,不知道是不是中招了
    billowssun123
        5
    billowssun123  
    OP
       2023-05-22 01:12:58 +08:00
    @hefish 是开了的额
    billowssun123
        6
    billowssun123  
    OP
       2023-05-22 01:16:30 +08:00
    那个网管说公司防火墙一直在报警,这是 ip 暴露被攻击了的意思吗,但是他发过来的通知又是说的挖矿病毒,主要是电脑本地没有报毒,电脑占用也没有任何异常之类的,没太看懂。
    billowssun123
        7
    billowssun123  
    OP
       2023-05-22 01:18:33 +08:00
    @illl 我去查了一下那个漏洞,我之前也经历过那个版本,很久之前的事情了,我在公司用的是最新版的。
    illl
        8
    illl  
       2023-05-22 07:28:58 +08:00 via iPhone
    @billowssun123 某些安全设备集成了威胁情报功能,如果你机场 ip 是被标记过的话也可能会有此类情况,推荐使用微步查一下 ip 有没有被标记
    kokutou
        9
    kokutou  
       2023-05-22 07:53:42 +08:00
    换个协议吧...
    版本升级下...
    换别的客户端...
    现在的防火墙都是宁可误封, 也不放过一个...难用得很...
    cnevil
        10
    cnevil  
       2023-05-22 11:03:35 +08:00
    我一个朋友每次用 frp 过不了多久都会被管网络的封 ip 然后他再手动改成别的。。
    你这应该是公司的安全产品认为你访问的地址有问题,或者你用的隧道协议啥的有问题,甚至我见过 dns 请求的域名太长了都会告警,原因是隐蔽通信啥的,一般挖矿病毒告警都是通过访问的域名或 ip 地址来判断的。
    安全设备一般基于特征,误报高本质上是宁错杀不放过,这就要求运维 /运营者的水平了,他如果最后判断没有问题就可以算是误报。当然,如果是我我选择跟设备统一口径,毕竟你就是个普通员工用的还是翻墙软件,我不可能担着风险给你做担保
    billowssun123
        11
    billowssun123  
    OP
       2023-05-22 12:40:28 +08:00
    @cnevil 感谢解答
    Kinnice
        12
    Kinnice  
       2023-05-22 14:42:30 +08:00
    你机场的邻居拿这个 IP 作为挖矿代理,被威胁情报标记了。
    woyaowb11
        13
    woyaowb11  
       2023-09-21 20:57:32 +08:00
    我遇到同样的情况了,网管一直提示我说我中了挖矿病毒,一直在拦截我访问 IP ,我查了很奇怪是通用 DNS 的,请问你最后是怎么解决的啊。。。能否告知一下。
    billowssun123
        14
    billowssun123  
    OP
       2023-10-08 15:46:23 +08:00
    @woyaowb11 删除软件。不让用了
    woyaowb11
        15
    woyaowb11  
       2023-10-30 15:19:21 +08:00 via Android
    是删除 clash 么
    billowssun123
        16
    billowssun123  
    OP
       2023-10-31 11:36:12 +08:00
    @woyaowb11 嗯嗯是的
    woyaowb11
        17
    woyaowb11  
       2023-11-02 14:45:10 +08:00 via Android
    那你怎么解决科学上网问题啊,换其他软件么
    billowssun123
        18
    billowssun123  
    OP
       2023-11-03 10:04:40 +08:00
    @woyaowb11 公司不让翻墙了,就没用了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1478 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:23 · PVG 01:23 · LAX 09:23 · JFK 12:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.