【标题】:xxxxx 发现 DNS 恶意请求 【客户名称】:xxxxxxx 【风险等级】:高 【告警时间】:2025-06-12 【事件类型】:恶意请求行为 【受影响资产】:xxxxxxx 【详情】:[机器:xxxxxxx,请求恶意域名:mst2.mymst007.info,进程: C:\Windows\System32\wbem\scrcons.exe,请求次数:5,首次请求时间:2025-06-12 23:03:43, 最近请求时间:2025-06-12 23:03:43]
最近MSS运营中收到一条主机安全的告警,某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务,也没有公网ip,甚至已经很长时间都没人登录过,查看记录已经稳定运行几年时间了。这样的机器为什么会突然产生DNSLOG告警?
阅读更多通常在docker run 时可能会忘记添加必要的端口映射,但是在运行成功后,想要添加新的端口映射。网上给出的方案基本都是要先stop容器再重新commit,这种方式非常麻烦,对于没有volume挂载的容器,容器内部运行时的数据可能会丢失。
阅读更多常用的压缩包格式有zip,rar,7z这三类。一开始在处理这些压缩包时,采用的思路是直接用python封装的第三方模块如zipfile、rarfile、py7zr这些直接处理原始压缩文件。
如果只是处理几百兆的小文件,是没有任何问题,但对于几十G的压缩包效率极其低下,尤其针对不解压提取压缩包内部的文件内容的场景,一个rar的压缩包处理时长可能花费数十个小时。
本文针对压缩包清洗,花费大量时间研究。深入分析清洗数据的坑点,以及优化思路。
阅读更多
和朋友一起协同开发,需要打通双方的局域网互访,所以考虑到vpn的场景。一开始考虑frp+openvpn的实现。frp实现点对点穿透,openvpn负责组网。但是感觉这样配置较为繁琐,双方都需要部署frp和openvpn,体验不是很友好。
探索了多种方案最终选择了Zerotier,一个自带P2P打洞的vpn,同时满足需要。只需要自建一台有公网ip的moon服务器就可以高效实现各个zerotier节点之间的打洞。
阅读更多近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多