- 主题:Re: [求助]有什么好办法查出来X_M_R_i_g这个wk病毒吗?
只查到你们的ip的nat之后的地址吗? 你们自己查不了你们内部的网络?
那样的话,想办法把木马的联络IP封了吧,估计是反弹类型的,或者是bot的
【 在 jungfrau (在路上) 的大作中提到: 】
: 近期频繁收到网管部门的警告邮件,通知我们的ip存在XMRig wa矿木马外挂行为。(总有敏感词不通过……)
--
FROM 220.191.249.*
感觉这样处理也差不多了,netstat查不到的,可能wk的傀儡机不是一直在线控制的。
【 在 jungfrau (在路上) 的大作中提到: 】
: 详情如下
: [upload=1][/upload]
--
FROM 220.191.249.*
是的,正解。
【 在 jungfrau (在路上) 的大作中提到: 】
: 就怕这种不定期联网到矿池的情况,再加上网络部门不配合,不知道该咋查。
: 之前听说过wireshark这种软件,但我没使用过。我在想:wireshark正常情况下是监听本地网络,如果我给上游的华为交换机配置端口镜像,所有上行的包都要给我的监控电脑发一个备份,是不是也能使用wireshark抓到?
--
FROM 220.191.249.*
只要还在w,还是有机会的
【 在 jungfrau (在路上) 的大作中提到: 】
: 目前已经使用这种方法定位到某个子路由了,但是交换机记录的是路由的IP,所以还是没查到终端机器。子路由使用的是华为AX3 PRO,我联系了技术客服。他们回复说诊断模式或许可以抓包,但需要技术人员单独处理。还不一定可行,目前还没正式答复我。
: 我想到一个笨办法:把交换机移到该路由的下游,每个端口配一个WiFi,每个WiFi只连特定的少数几台设备。再监控一两天,结合网管日志揪出来目标机器。是否还有更好的办法?
: 还有一个本来做备选的办法,我们可以安装正版NOD32,但我感觉查杀不太靠谱,当然我也没联系过他们的技术人员……
: ...................
--
FROM 220.191.249.*