網(wǎng)上有很多關(guān)于pos機域名無法解析,內(nèi)網(wǎng)主機頻繁出現(xiàn)異常性能過高問題案例分析的知識，也有很多人為大家解答關(guān)于pos機域名無法解析的問題，今天pos機之家(www.shineka.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機域名無法解析

pos機域名無法解析

簡介：為您完整復盤挖礦病毒的查殺過程。

合作伙伴頻繁出現(xiàn)內(nèi)網(wǎng)主機異常性能過高的問題，對日常辦公造成了不良影響。

為定位問題，部署了下一代防火墻（NGFW）、安全分析平臺產(chǎn)品，并開啟威脅情報服務進行觀察。

產(chǎn)品部署后，在NGFW日志中發(fā)現(xiàn)一臺內(nèi)網(wǎng)服務器（X.X.X.49）訪問了外網(wǎng)地址（91.121.140.167），并被入侵防御系統(tǒng)（IPS）規(guī)則識別為礦機外聯(lián)行為，隨即對其進行阻斷。

1）了解網(wǎng)絡情況

合作伙伴反饋，該主機所在網(wǎng)段內(nèi)均為內(nèi)網(wǎng)業(yè)務服務器與主機，承載內(nèi)網(wǎng)和分支機構(gòu)的業(yè)務訪問功能，不會主動訪問公網(wǎng)，故判定該主機行為異常，需要進一步排查。

2）確認挖礦行為

遠程登錄（SSH）可疑主機（X.X.X.49），使用netstat-anop查看該主機的連接情況，發(fā)現(xiàn)它與一個與外網(wǎng)地址相連，且該地址與防火墻日志上的目的地址（91.121.140.167）相同，同時該連接沒有PID與Program name相關(guān)信息，情況明顯異常。

Tips：PID (process identification)代表進程標識號，在大多數(shù)操作系統(tǒng)內(nèi)核（如 Linux、Unix、macOS 和 Windows）中使用，它是在操作系統(tǒng)中創(chuàng)建進程時，自動分配的唯一標識號。一個進程即一個正在運行的程序?qū)嵗?/p>

威脅情報服務同樣監(jiān)控到了這個IP地址，發(fā)現(xiàn)它關(guān)聯(lián)了5條反向DNS信息，其中4個域名都與supportxmr.com有關(guān)。

在網(wǎng)上查找域名supportxmr.com，該域名對應的是一個礦池。

至此可以初步確認，內(nèi)網(wǎng)服務器（X.X.X.49）與外部礦池supportxmr.com有連接，存在挖礦行為。

3）查找挖礦程序

挖礦程序一般會占用大量系統(tǒng)資源，最直接的表現(xiàn)就是CPU占用很高，因此從CPU使用情況入手排查。

在問題主機上通過top命令查看CPU占用進程，發(fā)現(xiàn)各進程的CPU占用率都很正常，沒有特別高的情況；但是用戶態(tài)（us）占用率很高，達到了90.2%。這種情況，很有可能是系統(tǒng)top命令輸出被篡改了。

根據(jù)以往的運維經(jīng)驗，判斷系統(tǒng)被修改了/etc/ld.so.preload，從而影響了top命令輸出使用的 find /etc -mtime 1 |grep ld.so.preload。

事實證明該文件的確被修改過。通過ls–la /etc/ld.so.preload命令查看文件的修改時間，可以看到在5月23日22點19分被修改。

通過cat/etc/ld.so.preload命令進一步查看文件內(nèi)容，可以看到該文件加載了一個so文件 libprocesshider.so，so文件是二進制文本類型。

將/etc/ld.so.preload的內(nèi)容刪除，再通過top命令查看CPU占用情況。這次顯示了一個CPU占用很高的程序，程序名稱為.sh，PID為10273，基本可以斷定.sh就是挖礦程序。

4）刪除挖礦程序

根據(jù)挖礦程序的PID查看進程文件，可以看到在/usr/lib/mysql目錄下有一個名為.sh的可疑文件

查看該文件的MD5值為“6a034a7041f30688086080a1c922e60”。

在/etc/目錄下查找是否還有/tmp/.sh文件，發(fā)現(xiàn)名為/bin/shh的可疑文件。

該文件的MD5值同樣為“6a034a7041f30688086080a1c922e60”。

查看/etc/profile.d/php.sh文件，發(fā)現(xiàn)是一個先復制并執(zhí)行腳本，而后刪除腳本的文件。

在/etc/profile.d/目錄下，根據(jù)文件修改時間這一特征，還發(fā)現(xiàn)了一個名為supervisor.sh的可疑文件。

文件supervisor.sh是以supervisord起的一個守護進程，相關(guān)配置放在文件/etc/.supervisor/supervisord.conf中。

查看supervisord.conf文件 ，找到配置文件是在conf.d目錄下任意后綴為.conf的文件

查看conf.d目錄，發(fā)現(xiàn)名為123.conf的文件。

通過文件123.conf，可以定位到.sh的再上層路徑/etc/spts，以及輸出文件位置。

查看/etc/spts的MD5值，發(fā)現(xiàn)其MD5值依然為“6a034a7041f30688086080a1c922e60”。

另外，查看定時任務時，發(fā)現(xiàn)系統(tǒng)會定時將/etc/.sh復制到/tmp/下執(zhí)行再刪除，達到隱藏自身的目的。

查看/etc下文件，發(fā)現(xiàn)名為.sh的腳本。

該文件的MD5值為“6a034a7041f30688086080a1c922e60”，與/usr/lib/mysql/.sh的MD5一致，說明兩個文件是相同的。

至此，挖礦程序已定位確認，將對應的惡意文件和進程及守護程序和進程刪除即可初步解決問題。為了避免系統(tǒng)中其他位置還隱藏了該惡意文件，通過find /etc -type f -print0 |xargs -0 md5sum|grep "6a034a7041f306880886080a1c922e60"命令，使用MD5特征找出系統(tǒng)中所有的惡意文件并刪除。

解決單點問題后，為了避免同類問題在內(nèi)網(wǎng)中大量復制，應用安全分析平臺與防火墻進行安全加固。

1）縮小攻擊面

通過安全分析平臺查看該服務器的開放端口， 發(fā)現(xiàn)主機存在未對外開放的3306與22端口，需要禁止外部訪問。

在NGFW上禁止其它網(wǎng)絡訪問此服務器的3306和22端口，并加入服務對象“風險端口”中。

將服務器IP加入到地址對象“server”中。

配置IPv4控制策略并將策略優(yōu)先級調(diào)到最高，阻斷所有訪問3306和22端口的流量。

2）清除橫向擴散威脅

通過安全分析平臺的天眼功能查詢礦池域名pool.supportxmr.com的訪問記錄，確認只有服務器（X.X.X.49）訪問過該礦池，基本確認其他主機沒有感染挖礦病毒。

通過安全分析平臺查詢服務器（X.X.X.49）的行為記錄，發(fā)現(xiàn)它并沒有掃描內(nèi)部主機，結(jié)合天眼功能查詢域名的結(jié)果，基本確認暫不存在橫向擴散風險。假設該服務器作為跳板對其它主機進行訪問，將被安全分析平臺記錄并告警。

通過查看該服務器的訪問關(guān)系，發(fā)現(xiàn)它可能被X.X.X.59和X.X.X.20掃描過，這兩臺主機可能已經(jīng)被感染或控制。

其中X.X.X.59為外網(wǎng)IP，確認該IP與業(yè)務無關(guān)，加入防火墻黑名單。

X.X.X.20為內(nèi)網(wǎng)辦公PC，使用主機安全工具對它及同類主機進行了風險分析與加固。

3）加固系統(tǒng)

通過NGFW產(chǎn)品資產(chǎn)安全分析模塊，發(fā)現(xiàn)內(nèi)網(wǎng)有較多存在安全風險的主機，通過主機安全解決方案進行系統(tǒng)加固和風險清除，提升內(nèi)網(wǎng)資產(chǎn)的安全系數(shù)。

4）升級NGFW特征庫阻斷威脅

在查殺挖礦病毒的過程中，獲取到這個病毒的特征，隨即加入到NGFW病毒特征庫中，用戶直接在線升級即可獲得最新的病毒庫版本，防止再次受到此病毒的攻擊。

另外，將IP地址91.121.140.167、域名supportxmr.com及MD5值6a034a7041f30688086080a1c922e60更新到威脅情報中，為更多的用戶提供該病毒情報，阻止此威脅在其他網(wǎng)絡擴散。

復盤此次挖礦病毒的查殺過程：

l 首先，了解網(wǎng)絡情況，根據(jù)實際情況確定排查思路和方法。

l 其次，通過查看防火墻日志，協(xié)同威脅情報平臺，確認挖礦行為的存在。

l 之后，通過挖礦程序占用CPU這個特征，找到對應的挖礦程序。

l 完成定位后，查找并刪除系統(tǒng)中所有的挖礦程序。

l 最后，對網(wǎng)絡進行安全加固，包括病毒查殺、加固系統(tǒng)、升級防火墻特征庫、針對性配置安全防護策

結(jié)語：安博通提出了SIIP（Security is in Process）過程安全架構(gòu)，強調(diào)：網(wǎng)絡安全是一種過程，而不是一個結(jié)果，只要保證過程持續(xù)安全，則結(jié)果更加趨向安全，此次查殺過程正是最好的體現(xiàn)。在此次安全事件的處置過程中，云端威脅情報和安全分析平臺提供了智能化幫助，最終通過NGFW實現(xiàn)了網(wǎng)絡防護的安全結(jié)果。

北京安博通科技股份有限公司（簡稱“安博通”），是國內(nèi)領(lǐng)先的可視化網(wǎng)絡安全專用核心系統(tǒng)產(chǎn)品與安全服務提供商，2019年成為中國第一家登陸科創(chuàng)板的網(wǎng)絡安全企業(yè)。

其自主研發(fā)的ABT SPOS可視化網(wǎng)絡安全系統(tǒng)平臺，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡安全系統(tǒng)套件，是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)引擎。

更多詳情，敬請查閱：www.abtnetworks.com

以上就是關(guān)于pos機域名無法解析,內(nèi)網(wǎng)主機頻繁出現(xiàn)異常性能過高問題案例分析的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機域名無法解析的知識，希望能夠幫助到大家！