DNS劫持欺骗病毒“自杀”尽快恢复网页

  中毒后的服务器CPU开始升高,机器445端口及1433端口产生大量链接数,并有对内网横向传播以及对外攻击的情况发生。

  在系统磁盘下windows目录域名污染下发现多个随机命名的exe文件,以及mimikatz的运行日志文件,包括powershell文件,发现中毒后第一时间使用杀毒软件清理病毒,简单粗暴,但域名清洗是效果并不尽人意,被杀毒软件杀掉的病毒又会重新生成新的病毒文件,了解DTLMiner后发现他会在windows计划任务中添加定时任务,而定时任务会执行域名dns清洗powershell代码,不易被杀毒软件检测查杀,如何在上百台中毒机器中高效删除所有机器的病毒呢。

  那么只需要有一种替换ps代码的方式,域名污染查询让powershell请求恶意域获取到我们指定的ps代码即可控制病毒的执行,从而变成病毒的操控者,让病毒的ps代码主动请求“自杀”,这点只需要通过修改内网的DNS域名被墙查询即可轻松做到。

  现在内网所有中毒的机器都会主动请求我们自己部署的web服务,通过请求日志可以看到所有中毒机器的IP地址,以及请求参数中携带了主机的信域名劫持查询息,包括主机的登录账号和密码,结合ELK可以对这些机器做数据整理分析。

  更换域名,尽快恢复网页正常访问。

  选择一家国内免备案服务器,将公司数据转移域名污染清洗到这家服务器上,一劳永逸的解决以后出现的类似问题。

  第一个问题解决的还算顺利,网页很快恢复了正常访问,由于解决的比较及时,客户也没有太大的怨言,在第污染劫持处理二个问题上,我和小伙伴们却慎之又慎,毕竟经历过一次域名被墙,以后能否避免类似悲催的经历,服务器的选择就显得至关重要,最后经过我们反复选择,比较,认定了域名被墙处理搜俊云国内免备案服务器,一是因为他们价格比较厚道,最重要的是经过和客服沟通,他们在解决域名被墙问题上服务很专业和成熟,是我们能放心的选择他家的服务器。

  DNSQX.COM—DNS安全服务商,一站式域名污染检测,高防CDN,免备案CDN,域名被墙检测,域名污染查询,域名被墙查询,dns污染检测,dns污染查询,dns劫持查询,五年域名污染处理经验,一小时极速恢复98%地区用户访问,先测后买,免费试用,https://www.dnsqx.com/。