0x01 事情概述

前一段时间接到了销售给过来的消息说某单位服务器出现问题了，但是出问题的是某云服务器，出现外联德国的行为，告警行为远控，可能没有日志，还比较急，让先支持处置，有可能的话帮忙溯源好抓人，给了个处置对的第三方师傅。

0x02 分析

毕竟给的信息是外联远控，如果是外联的情况下一般就要考虑是否是灰黑产，这种情况下出现在个人终端的可能下要大于服务器，所以这个时候基本上就是杀毒，沙箱运行看是否会出现外联行为，如果是远控类木马的情况下，一般服务器被上传的可能性比较高，钓鱼类的可能是个人终端，这是基于服务关系来分析的。

0x03 远程处置

第三方老师傅给了个vpn让先给远程看一下，正常情况下肯定是先要考虑备份镜像，在镜像中做操作，如果需要备份镜像的话这里我推荐使用``FTK``，备份之后再转格使用vm打开就ok了，比较容易上手操作。在物理机上直接操作会破坏证据，但是根据给的外联地址去进行信息搜集肯定是攻击者挂的代理地址，没有实际意义，没有高交互的蜜罐的条件下想要实现反制和溯源的基本上是没有可能的。

0x04 排查

火绒杀毒

windows日志查询

eventvwr

发现日志并未被清除，如果说是实现了远控，起码就操作者行为来讲，还是讲武德的。

windows日志分为五类

应用程序日志
安全日志
Setup日志 #安装日志
系统日志
Forwarded Events日志 #转发日志

这里主要看应用程序日志和安全日志即可，应用程序日志即安装应用程序产生的事件，安全日志主要记录用户操作产生的日志，例如登入/登出，清除日志等。

事实上并没有异常的登录事件，从出现问题到服务器关掉的登录事件以及操作日志来说也没有问题

查看定时任务

【----帮助网安学习，所有资料加weixin：yj009991，备注“掘金”获取！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

翻了一遍定时任务并未有新创建的定时任务

熟悉winserver2012的都清楚装机初始的自动任务都存在，另外无其他特殊的计划任务。

net user

无新增用户

就单纯从业务来讲，不牵涉到内网部分，所以也根本不担心内网横向的风险。断网条件下是无法通过查看连接状态判断是什么程序触发的，分析业务盘的文件

这个时候服务没有起，可以发现使用的中间件，jar包是2017年的，但是有没有打补丁不清楚，因为我没找到的patch文件以及其它像是weblogic的补丁jar包，这里可能会有人有疑问，没看见包就没打补丁么，不接受杠精提问，只是分析而已，这个时候跟开发和运维对接可以确定中间件服务对公网有映射，查看文件目录，因为查杀结果并没有出来，在文件目录下发现存在恶意文件