近期，公司生产环境某主机感染第四代Satan勒索病毒，再次给我们的网络安全防护工作敲响了警钟，现在就整个事件的前因后果进行一下简单的总结，也给其他的朋友提供一些借鉴的经验教训。

1、事件回顾

此次事件起因是部署的主机防病毒软件发出告警，在某主机上查杀了大量恶意文件：

 

遂登录问题主机进行查看，发现部分系统文件已经被加密，加密文件后缀是.dbger：

查看任务管理器，存在恶意进程：

同时查看网络连接情况，发现存在大量恶意连接记录（都是针对境外IP的，未针对局域网的主机，这也是此次事件未造成大范围主机感染的原因）：

感染的病毒试图对境外IP列表的445端口发起勒索攻击：

出现上述问题后，紧急对问题主机存在的恶意文件进行处理，并对主机网络进行隔离。幸好主机上的应用还没有正式上线，并有相应的备份文件，及时发现并控制住了影响。通过恶意文件的名称基本确定感染的病毒为satan病毒，satan病毒早在2017年1月份就爆出来了，期间经过几次演进，病毒感染后的现象进行了一些改变，如加密后缀、病毒感染途径等等。

2、事件原因分析

在处理完病毒并控制住影响后，开始对此次satan病毒的感染原因进行分析，比较幸运的是，tomcat服务器下有个日志文件没有被加密（注：业界研究报告显示Satan勒索病毒主要用于针对服务器的数据库文件进行加密，但我们这次感染的主机tomcat日志文件也被加密了），打开没有加密的tomcat日志文件，发现了重要证据：

恶意攻击者（源IP：45.124.132.123，在此次事件10天后又发现此IP在恶意攻击我们另外一台服务器）在尝试9次失败的登录后，成功登录tomcat后台管理目录，并上传了恶意satan病毒文件包，文件上传时间与主机防病毒软件的查杀日志时间基本一致。

另外查看到几个恶意文件：

从文件内容可以看到在链接恶意的主机IP：124.217.216.42。

根据上述日志基本确认此次病毒就是通过tomcat后台默认口令的安全漏洞造成的攻击，再次给我们敲响警钟，如此低级错误的代价是多么的惨痛！！！。

根据感染时间和网上查到的一些资料，基本确认此次感染的satan病毒为演进的最新的第四代病毒，主机被感染时防病毒软件厂商的病毒库还未来得及更新，如下链接是网上找的一个文件路径（该链接现在已无法访问！！），更新时间就是在6月11号附近：

由此我们也看到了防病毒软件的某些瓶颈，在病毒库无法每天实时更新的情况下，某些恶意病毒真就可以利用这个时间差进行大范围传播与攻击。

在提取了部分样本进行逆向分析后，发现相关文件加了vm保护壳，想要从代码层面分析病毒的行为比较困难。

遇到此类文件被恶意加密的安全事件，我们只能通过异地备份文件来进行恢复。

记住，重要文件一定要异地备份，重要文件一定要异地备份，重要文件一定要异地备份！！（重要事情说三遍）

3、安全整改与加固

针对此次安全事件，总结我们的安全防护还是存在很多薄弱项，尤其是应用层的安全防护，作为基础的iaas云服务供应商，服务器在交付给客户后，应用层的安全更多的需要使用者来实施（例如应用安全测试加固、部署waf等），但我们还是要总结自身的问题，平台层需要加固及整改的还是要逐一落实：

1、再次确认网络出口防火墙以及主机防火墙的445、139、3389等高危端口是否关闭；

2、再次确认所有windows服务器主机是否已修复勒索病毒相关补丁；

3、针对所有的tomcat服务，检查并确认tomcat后台默认管理页面已被删除。

4、针对所有应用，检查并确认重要文件是否进行异地备份。

4、参考链接

http://www.freebuf.com/articles/system/175248.html

https://bbs.pediy.com/thread-225693.htm