網(wǎng)上有很多關(guān)于pos機(jī)域名無法解析,內(nèi)網(wǎng)主機(jī)頻繁出現(xiàn)異常性能過高問題案例分析的知識，也有很多人為大家解答關(guān)于pos機(jī)域名無法解析的問題，今天pos機(jī)之家(m.afbey.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機(jī)域名無法解析

pos機(jī)域名無法解析

簡介：為您完整復(fù)盤挖礦病毒的查殺過程。

1、問題描述

合作伙伴頻繁出現(xiàn)內(nèi)網(wǎng)主機(jī)異常性能過高的問題，對日常辦公造成了不良影響。

為定位問題，部署了下一代防火墻（NGFW）、安全分析平臺產(chǎn)品，并開啟威脅情報(bào)服務(wù)進(jìn)行觀察。

2、處理過程

產(chǎn)品部署后，在NGFW日志中發(fā)現(xiàn)一臺內(nèi)網(wǎng)服務(wù)器（X.X.X.49）訪問了外網(wǎng)地址（91.121.140.167），并被入侵防御系統(tǒng)（IPS）規(guī)則識別為礦機(jī)外聯(lián)行為，隨即對其進(jìn)行阻斷。

1）了解網(wǎng)絡(luò)情況

合作伙伴反饋，該主機(jī)所在網(wǎng)段內(nèi)均為內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器與主機(jī)，承載內(nèi)網(wǎng)和分支機(jī)構(gòu)的業(yè)務(wù)訪問功能，不會(huì)主動(dòng)訪問公網(wǎng)，故判定該主機(jī)行為異常，需要進(jìn)一步排查。

2）確認(rèn)挖礦行為

遠(yuǎn)程登錄（SSH）可疑主機(jī)（X.X.X.49），使用netstat-anop查看該主機(jī)的連接情況，發(fā)現(xiàn)它與一個(gè)與外網(wǎng)地址相連，且該地址與防火墻日志上的目的地址（91.121.140.167）相同，同時(shí)該連接沒有PID與Program name相關(guān)信息，情況明顯異常。

Tips：PID (process identification)代表進(jìn)程標(biāo)識號，在大多數(shù)操作系統(tǒng)內(nèi)核（如 Linux、Unix、macOS 和 Windows）中使用，它是在操作系統(tǒng)中創(chuàng)建進(jìn)程時(shí)，自動(dòng)分配的唯一標(biāo)識號。一個(gè)進(jìn)程即一個(gè)正在運(yùn)行的程序?qū)嵗?/p>

威脅情報(bào)服務(wù)同樣監(jiān)控到了這個(gè)IP地址，發(fā)現(xiàn)它關(guān)聯(lián)了5條反向DNS信息，其中4個(gè)域名都與supportxmr.com有關(guān)。

在網(wǎng)上查找域名supportxmr.com，該域名對應(yīng)的是一個(gè)礦池。

至此可以初步確認(rèn)，內(nèi)網(wǎng)服務(wù)器（X.X.X.49）與外部礦池supportxmr.com有連接，存在挖礦行為。

3）查找挖礦程序

挖礦程序一般會(huì)占用大量系統(tǒng)資源，最直接的表現(xiàn)就是CPU占用很高，因此從CPU使用情況入手排查。

在問題主機(jī)上通過top命令查看CPU占用進(jìn)程，發(fā)現(xiàn)各進(jìn)程的CPU占用率都很正常，沒有特別高的情況；但是用戶態(tài)（us）占用率很高，達(dá)到了90.2%。這種情況，很有可能是系統(tǒng)top命令輸出被篡改了。

根據(jù)以往的運(yùn)維經(jīng)驗(yàn)，判斷系統(tǒng)被修改了/etc/ld.so.preload，從而影響了top命令輸出使用的 find /etc -mtime 1 |grep ld.so.preload。

事實(shí)證明該文件的確被修改過。通過ls–la /etc/ld.so.preload命令查看文件的修改時(shí)間，可以看到在5月23日22點(diǎn)19分被修改。

通過cat/etc/ld.so.preload命令進(jìn)一步查看文件內(nèi)容，可以看到該文件加載了一個(gè)so文件 libprocesshider.so，so文件是二進(jìn)制文本類型。

將/etc/ld.so.preload的內(nèi)容刪除，再通過top命令查看CPU占用情況。這次顯示了一個(gè)CPU占用很高的程序，程序名稱為.sh，PID為10273，基本可以斷定.sh就是挖礦程序。

4）刪除挖礦程序

根據(jù)挖礦程序的PID查看進(jìn)程文件，可以看到在/usr/lib/mysql目錄下有一個(gè)名為.sh的可疑文件

查看該文件的MD5值為“6a034a7041f30688086080a1c922e60”。

在/etc/目錄下查找是否還有/tmp/.sh文件，發(fā)現(xiàn)名為/bin/shh的可疑文件。

該文件的MD5值同樣為“6a034a7041f30688086080a1c922e60”。

查看/etc/profile.d/php.sh文件，發(fā)現(xiàn)是一個(gè)先復(fù)制并執(zhí)行腳本，而后刪除腳本的文件。

在/etc/profile.d/目錄下，根據(jù)文件修改時(shí)間這一特征，還發(fā)現(xiàn)了一個(gè)名為supervisor.sh的可疑文件。

文件supervisor.sh是以supervisord起的一個(gè)守護(hù)進(jìn)程，相關(guān)配置放在文件/etc/.supervisor/supervisord.conf中。

查看supervisord.conf文件 ，找到配置文件是在conf.d目錄下任意后綴為.conf的文件

查看conf.d目錄，發(fā)現(xiàn)名為123.conf的文件。

通過文件123.conf，可以定位到.sh的再上層路徑/etc/spts，以及輸出文件位置。

查看/etc/spts的MD5值，發(fā)現(xiàn)其MD5值依然為“6a034a7041f30688086080a1c922e60”。

另外，查看定時(shí)任務(wù)時(shí)，發(fā)現(xiàn)系統(tǒng)會(huì)定時(shí)將/etc/.sh復(fù)制到/tmp/下執(zhí)行再刪除，達(dá)到隱藏自身的目的。

查看/etc下文件，發(fā)現(xiàn)名為.sh的腳本。

該文件的MD5值為“6a034a7041f30688086080a1c922e60”，與/usr/lib/mysql/.sh的MD5一致，說明兩個(gè)文件是相同的。

至此，挖礦程序已定位確認(rèn)，將對應(yīng)的惡意文件和進(jìn)程及守護(hù)程序和進(jìn)程刪除即可初步解決問題。為了避免系統(tǒng)中其他位置還隱藏了該惡意文件，通過find /etc -type f -print0 |xargs -0 md5sum|grep "6a034a7041f306880886080a1c922e60"命令，使用MD5特征找出系統(tǒng)中所有的惡意文件并刪除。

3、后續(xù)安全加固

解決單點(diǎn)問題后，為了避免同類問題在內(nèi)網(wǎng)中大量復(fù)制，應(yīng)用安全分析平臺與防火墻進(jìn)行安全加固。

1）縮小攻擊面

通過安全分析平臺查看該服務(wù)器的開放端口， 發(fā)現(xiàn)主機(jī)存在未對外開放的3306與22端口，需要禁止外部訪問。

在NGFW上禁止其它網(wǎng)絡(luò)訪問此服務(wù)器的3306和22端口，并加入服務(wù)對象“風(fēng)險(xiǎn)端口”中。

將服務(wù)器IP加入到地址對象“server”中。

配置IPv4控制策略并將策略優(yōu)先級調(diào)到最高，阻斷所有訪問3306和22端口的流量。

2）清除橫向擴(kuò)散威脅

通過安全分析平臺的天眼功能查詢礦池域名pool.supportxmr.com的訪問記錄，確認(rèn)只有服務(wù)器（X.X.X.49）訪問過該礦池，基本確認(rèn)其他主機(jī)沒有感染挖礦病毒。

通過安全分析平臺查詢服務(wù)器（X.X.X.49）的行為記錄，發(fā)現(xiàn)它并沒有掃描內(nèi)部主機(jī)，結(jié)合天眼功能查詢域名的結(jié)果，基本確認(rèn)暫不存在橫向擴(kuò)散風(fēng)險(xiǎn)。假設(shè)該服務(wù)器作為跳板對其它主機(jī)進(jìn)行訪問，將被安全分析平臺記錄并告警。

通過查看該服務(wù)器的訪問關(guān)系，發(fā)現(xiàn)它可能被X.X.X.59和X.X.X.20掃描過，這兩臺主機(jī)可能已經(jīng)被感染或控制。

其中X.X.X.59為外網(wǎng)IP，確認(rèn)該IP與業(yè)務(wù)無關(guān)，加入防火墻黑名單。

X.X.X.20為內(nèi)網(wǎng)辦公PC，使用主機(jī)安全工具對它及同類主機(jī)進(jìn)行了風(fēng)險(xiǎn)分析與加固。

3）加固系統(tǒng)

通過NGFW產(chǎn)品資產(chǎn)安全分析模塊，發(fā)現(xiàn)內(nèi)網(wǎng)有較多存在安全風(fēng)險(xiǎn)的主機(jī)，通過主機(jī)安全解決方案進(jìn)行系統(tǒng)加固和風(fēng)險(xiǎn)清除，提升內(nèi)網(wǎng)資產(chǎn)的安全系數(shù)。

4）升級NGFW特征庫阻斷威脅

在查殺挖礦病毒的過程中，獲取到這個(gè)病毒的特征，隨即加入到NGFW病毒特征庫中，用戶直接在線升級即可獲得最新的病毒庫版本，防止再次受到此病毒的攻擊。

另外，將IP地址91.121.140.167、域名supportxmr.com及MD5值6a034a7041f30688086080a1c922e60更新到威脅情報(bào)中，為更多的用戶提供該病毒情報(bào)，阻止此威脅在其他網(wǎng)絡(luò)擴(kuò)散。

4、總結(jié)復(fù)盤

復(fù)盤此次挖礦病毒的查殺過程：

l 首先，了解網(wǎng)絡(luò)情況，根據(jù)實(shí)際情況確定排查思路和方法。

l 其次，通過查看防火墻日志，協(xié)同威脅情報(bào)平臺，確認(rèn)挖礦行為的存在。

l 之后，通過挖礦程序占用CPU這個(gè)特征，找到對應(yīng)的挖礦程序。

l 完成定位后，查找并刪除系統(tǒng)中所有的挖礦程序。

l 最后，對網(wǎng)絡(luò)進(jìn)行安全加固，包括病毒查殺、加固系統(tǒng)、升級防火墻特征庫、針對性配置安全防護(hù)策

結(jié)語：安博通提出了SIIP（Security is in Process）過程安全架構(gòu)，強(qiáng)調(diào)：網(wǎng)絡(luò)安全是一種過程，而不是一個(gè)結(jié)果，只要保證過程持續(xù)安全，則結(jié)果更加趨向安全，此次查殺過程正是最好的體現(xiàn)。在此次安全事件的處置過程中，云端威脅情報(bào)和安全分析平臺提供了智能化幫助，最終通過NGFW實(shí)現(xiàn)了網(wǎng)絡(luò)防護(hù)的安全結(jié)果。

關(guān)于安博通

北京安博通科技股份有限公司（簡稱“安博通”），是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商，2019年成為中國第一家登陸科創(chuàng)板的網(wǎng)絡(luò)安全企業(yè)。

其自主研發(fā)的ABT SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)平臺，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)套件，是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)引擎。

更多詳情，敬請查閱：www.abtnetworks.com

以上就是關(guān)于pos機(jī)域名無法解析,內(nèi)網(wǎng)主機(jī)頻繁出現(xiàn)異常性能過高問題案例分析的知識，后面我們會(huì)繼續(xù)為大家整理關(guān)于pos機(jī)域名無法解析的知識，希望能夠幫助到大家！