这是一个创建于 541 天前的主题,其中的信息可能已经有所发展或是发生改变。
我用 clash 被公司网络部通知,这是 clash 真的带毒?还是什么情况?
事件描述
每日巡检中用户安全板块发现此 P 地址被攻陷
处理过程
1 、为保证网络安全,首先通过 MAC 地址找到
交换机对应端口,使用 shutdown 命令禁用网
络。
2 、分析病毒类型:
安全事件一般分为三种视角,1.外到内 2.内到
外 3 内到内
通过防火墙日志分析,当前病毒威胁类型为僵
尸网络,标签 coinmineri 这类型的挖矿病毒,通
常是内部电脑中毒,向外部攻击服务器上传数
据被防火墙检测出而产生的。通过防火墙日志
分析,发现发起请求的源端口为 58850 ,再源
主机上利用 netstat-aon|findstr"58850"和 tas
klist|findstr"4992"命令定位病毒源程序。
病毒源程序为:clash-core-service.exe
同时分析系统日志,系统任务计划程序,发现
此病毒文件每天定时执行。
3 、处理病毒:
彻底卸载病毒源程序,彻底删除源程序文件。
终止并删除病毒源程序定时计划任务。
4 、恢复网络、并持续跟踪观察此 P 在防火墙日
志记录。
事件描述
每日巡检中用户安全板块发现此 P 地址被攻陷
处理过程
1 、为保证网络安全,首先通过 MAC 地址找到
交换机对应端口,使用 shutdown 命令禁用网
络。
2 、分析病毒类型:
安全事件一般分为三种视角,1.外到内 2.内到
外 3 内到内
通过防火墙日志分析,当前病毒威胁类型为僵
尸网络,标签 coinmineri 这类型的挖矿病毒,通
常是内部电脑中毒,向外部攻击服务器上传数
据被防火墙检测出而产生的。通过防火墙日志
分析,发现发起请求的源端口为 58850 ,再源
主机上利用 netstat-aon|findstr"58850"和 tas
klist|findstr"4992"命令定位病毒源程序。
病毒源程序为:clash-core-service.exe
同时分析系统日志,系统任务计划程序,发现
此病毒文件每天定时执行。
3 、处理病毒:
彻底卸载病毒源程序,彻底删除源程序文件。
终止并删除病毒源程序定时计划任务。
4 、恢复网络、并持续跟踪观察此 P 在防火墙日
志记录。
 |
1
hefish 2023-05-21 23:30:57 +08:00
你用的啥版本啊。 我用的原版,没看到有 clash-core-service.exe 这个。
要不你也搞个原版看看? |
 |
2
billowssun123 OP @hefish 是原版 clash for windows 官方版本 这个进程我问了别人 他们说有
|
|
3
hefish 2023-05-21 23:36:28 +08:00
@billowssun123 哦。。也许是你开了 service mode 。 我没开。。。要不你也不开看看?
|
 |
4
illl 2023-05-21 23:51:05 +08:00 via iPhone
我记得好像之前爆出过漏洞,可以 rce ,不知道是不是中招了
|
|
5
billowssun123 OP @hefish 是开了的额
|
|
6
billowssun123 OP 那个网管说公司防火墙一直在报警,这是 ip 暴露被攻击了的意思吗,但是他发过来的通知又是说的挖矿病毒,主要是电脑本地没有报毒,电脑占用也没有任何异常之类的,没太看懂。
|
|
7
billowssun123 OP @illl 我去查了一下那个漏洞,我之前也经历过那个版本,很久之前的事情了,我在公司用的是最新版的。
|
|
8
illl 2023-05-22 07:28:58 +08:00 via iPhone
@billowssun123 某些安全设备集成了威胁情报功能,如果你机场 ip 是被标记过的话也可能会有此类情况,推荐使用微步查一下 ip 有没有被标记
|
 |
9
kokutou 2023-05-22 07:53:42 +08:00
换个协议吧...
版本升级下... 换别的客户端... 现在的防火墙都是宁可误封, 也不放过一个...难用得很... |
 |
10
cnevil 2023-05-22 11:03:35 +08:00
我一个朋友每次用 frp 过不了多久都会被管网络的封 ip 然后他再手动改成别的。。
你这应该是公司的安全产品认为你访问的地址有问题,或者你用的隧道协议啥的有问题,甚至我见过 dns 请求的域名太长了都会告警,原因是隐蔽通信啥的,一般挖矿病毒告警都是通过访问的域名或 ip 地址来判断的。 安全设备一般基于特征,误报高本质上是宁错杀不放过,这就要求运维 /运营者的水平了,他如果最后判断没有问题就可以算是误报。当然,如果是我我选择跟设备统一口径,毕竟你就是个普通员工用的还是翻墙软件,我不可能担着风险给你做担保 |
|
11
billowssun123 OP @cnevil 感谢解答
|
 |
12
Kinnice 2023-05-22 14:42:30 +08:00
你机场的邻居拿这个 IP 作为挖矿代理,被威胁情报标记了。
|
 |
13
woyaowb11 2023-09-21 20:57:32 +08:00
我遇到同样的情况了,网管一直提示我说我中了挖矿病毒,一直在拦截我访问 IP ,我查了很奇怪是通用 DNS 的,请问你最后是怎么解决的啊。。。能否告知一下。
|
|
14
billowssun123 OP @woyaowb11 删除软件。不让用了
|
|
15
woyaowb11 2023-10-30 15:19:21 +08:00 via Android
是删除 clash 么
|
|
16
billowssun123 OP @woyaowb11 嗯嗯是的
|
|
17
woyaowb11 2023-11-02 14:45:10 +08:00 via Android
那你怎么解决科学上网问题啊,换其他软件么
|
|
18
billowssun123 OP @woyaowb11 公司不让翻墙了,就没用了
|
Select Language