网站 › 『病毒救援区』 › 有没有白帽大佬看下服务器是不是被拿下了

summershade 发表于 2025-1-7 09:59

有没有白帽大佬看下服务器是不是被拿下了

本帖最后由 summershade 于 2025-1-8 09:28 编辑

EDR检测到异常命令，但是杀毒全盘扫描扫不到病毒文件

Asra 发表于 2025-1-7 18:24

没扫出来会不会是内存马，先用dnslog带出去一些路径名信息，再用certutil来下载大马，看看出网记录还有进程调用关系，找找父进程或者具体调用执行的代码

iamok 发表于 2025-1-8 08:43

点一个图上的深度分析，可以看看到底是哪个进程导致的远程命令执行。
不清楚你这个是什么edr，能不能抓到应用层的攻击数据，如果没有只能结合态势或waf、防火墙的数据再分析

ydydq 发表于 2025-1-7 13:46

我猜是有后门了。估计是没的system权限

红叶落尽 发表于 2025-1-7 14:27

还在疯狂的搞事中，还没有完全拿下

ha1kn 发表于 2025-1-7 14:32

误报，放心

FructusGardeni 发表于 2025-1-7 15:43

测试dnslog了 如果目标出网 基本上可以确定被黑了，通过certutil下载木马 做了免杀

beipan 发表于 2025-1-7 15:44

看下应该是在搞事。但是没有拿下权限。

FructusGardeni 发表于 2025-1-7 15:45

提示利用数据库执行的 查看下数据库账号和密码是否泄露或者有其他连接者，或者就是网站存在注入dba权限

dork 发表于 2025-1-7 15:46

基本搞定的状态

ruanyang2 发表于 2025-1-7 16:03

卡巴斯基试试

iamok 发表于 2025-1-7 16:50

12月17号就被拿下了，
1月6号的dnslog估计是另外一波人在搞了。

查看完整版本: 有没有白帽大佬看下服务器是不是被拿下了