1 情況概述
該案例是前期應(yīng)急處置的一起因安全問題導(dǎo)致的內(nèi)網(wǎng)不穩(wěn)定的情況。寫下來，和大家一起討論應(yīng)急響應(yīng)的一些思路及其中間遇到的一些坑，歡迎大牛指點(diǎn)、討論。
情況是這樣的：某用戶發(fā)現(xiàn)在網(wǎng)絡(luò)經(jīng)常出現(xiàn)內(nèi)網(wǎng)中斷的情況，經(jīng)其內(nèi)部分析，初步判定可能為其在云上的一臺虛擬服務(wù)器(Linux)異常導(dǎo)致，但是前期對這臺虛擬主機(jī)進(jìn)行常規(guī)的安全檢查與數(shù)據(jù)包分析，并沒有發(fā)現(xiàn)其有異常情況。但是用戶發(fā)現(xiàn)只要這臺虛擬主機(jī)接入網(wǎng)絡(luò)就會不定期出現(xiàn)內(nèi)網(wǎng)中斷。該服務(wù)器對外只開放 ssh和80。用戶為保證其他服務(wù)器的安全及可用性，把這臺虛擬主機(jī)給下線了，但是這臺虛擬主機(jī)是否存在異常？為什么接入網(wǎng)絡(luò)會導(dǎo)致中斷？在初步分析沒有結(jié)論的情況下，我方介入?yún)f(xié)助分析。
2 整體分析
2.1 數(shù)據(jù)包分析
2.1.1 與183.61.171.154異常交互
我方介入后，根據(jù)實(shí)際情況，將這臺異常虛擬主機(jī)全部拷備放到一臺暫時(shí)沒有使用的服務(wù)器中，前期考慮可能是發(fā)送惡意報(bào)文導(dǎo)致某用戶內(nèi)網(wǎng)服務(wù)器中斷，所以前期采用的方法是對這臺虛擬機(jī)的流量進(jìn)行抓取分析，但是在抓取一段時(shí)間后，并沒發(fā)現(xiàn)異常�？紤]到可能是不定期發(fā)包，因此決定進(jìn)行長期抓包與系統(tǒng)全面分析的方法進(jìn)行分析。下面是我方進(jìn)行抓包分析情況：

抓包情況 
全量抓取 
抓取日期 
2016年10月26時(shí) 16:07至2016年 10月 28 日14:35 
抓包總時(shí)長 
1天22小時(shí)27分鐘 
包總大小 
75.3M 
虛擬主機(jī)IP地址 
192.168.61.130 
抓了近兩天的數(shù)據(jù)包，總共包大小為75.3M，從數(shù)量上看，包的數(shù)量相對較少，應(yīng)該沒有進(jìn)行大流量攻擊行為。繼續(xù)深入分析數(shù)據(jù)包:
從數(shù)據(jù)包中發(fā)現(xiàn)有一處報(bào)文交互存在可疑，對其深入分析，發(fā)現(xiàn)在2016年10月27日13:55:50時(shí)這臺虛擬主機(jī)主動外連183.61.171.154這臺主機(jī)的5896端口，并下載了一下bc.pl的文件，其源端口為37568，但是由于分析時(shí)，該端口已無會話信息，所以無法分析當(dāng)時(shí)是哪個進(jìn)程。下面是這個過程的情況：

報(bào)文交互過程
時(shí)間 
2016年10月27日 13:55:50 
源IP 
192.168.61.130 
源端口 
37568 
目的IP 
183.61.171.154 
目的端口 
5896 
下載的文件 
bc.pl 
文件類型 
Perl文件 
安裝目錄 
/tmp 
文件權(quán)限 
644 
交互信息

文件存放路徑
對bc.pl文件查看，其源碼如下：

bc.pl源碼
根據(jù)源碼分析，其使用有socket函數(shù)，并定義一些remoet_ip,remote_port等關(guān)鍵字，初步判定其為一個進(jìn)行遠(yuǎn)程控制用的惡意遠(yuǎn)控程序的部分文件。
對183.61.171.154這個目的IP進(jìn)行分析，發(fā)現(xiàn)其存在被僵尸網(wǎng)絡(luò)控制等情況，這臺主機(jī)可能并不是真正的原始攻擊者，攻擊者通過這臺主機(jī)作為跳板來攻擊其他主機(jī)。但是我們對這個 IP的分析，可以證明上面的會話的確存在異常。 

對其反向DNS解析，分析曾經(jīng)有哪些域名掛在這個IP上，可以看出這個IP 頻繁的更換其對應(yīng)域名，說明這個IP對應(yīng)的主機(jī)可能早已被黑客控制，用來進(jìn)行黑客行為。下面是其反向DNS信息匯總：


繼續(xù)深入分析，看看183.61.171.154這臺主機(jī)上是否存在惡意文件，通過下圖可以看出183.61.171.154這臺主機(jī)存在較多惡意腳本。

183.61.171.154存在惡意樣本分析
通過上面分析，可以看出183.61.171.154這臺存在惡意腳本，判斷為被黑客控制的機(jī)器，黑客使用這臺作為跳板來入侵其他設(shè)備，因此某用戶外連這臺主機(jī)并下載bc.pl 這個文件，通過各方面綜合分析，判定 bc.pl是一個用來進(jìn)行遠(yuǎn)程控制的惡意文件。
2.1.2 與65.118.123.162異常交互
直接分析HTTP數(shù)據(jù)包，發(fā)現(xiàn)除了上面介紹下載的bc.pl文件以外，還有大量的 HTTP 請求，請求的內(nèi)容都為外連一個pl文件。


異常交互情況
提取相關(guān)信息，匯總?cè)缦拢?/span>
源IP 
192.168.61.130