分类目录应急响应

最近一次真实的应急场景，背景如下：

1. 主机安全告警存在webshell。
2. 木马文件名为php。同时/tmp目录下存在大量php临时文件。
3. Nginx访问日志中存在大量扫描器流量，但木马文件生成时间未发现对应的异常请求。
4. 该机器开通了waf，但扫描器的ip是被加白的（并非外网恶意扫描）。

本文建议先把logparser添加到环境变量再配合powershell使用。

日常应急响应中，大部分case需要上机排查。但是客户环境多种多样，以往依赖于vnc对云上机器进行应急响应方式，效率非常低下（相信使用过vnc的同学应该深有体会）。因此我们对不同应急场景下的远程登录方式做了总结和归纳，希望能提升工作中应急响应效率。

应急响应上机排查现状

另类非常规的应急排查小技巧汇总。

最近遇到的一起被勒索案例，被勒索加密的文件后缀是.orkf。勒索信如下：
勒索几百美刀，主要是针对个人PC的勒索病毒。

分析结论：
根据该勒索加密样本与源文件对比分析，发现该勒索病毒加密特征为对文件头进行加密，逐字节加密每个文件，然后保存文件副本，删除（而不是覆盖）原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密，所以对于一些大的文件有可能能够恢复部分数据。

导语：TemTNT挖矿家族，腾讯云安全中心已经对挖矿脚本有了详细的分析。所以本文不会去分析挖矿脚本代码。而是从应急响应的视角，通过溯源的方式去分析挖矿木马以及给出清理方案。