考试说明
一、环境配置说明
1、虚拟机网络设置
考试环境按照网络拓扑共有7个网段。
其中,桥接模式,作为连接公网的网段。无需更改IP。
其他网段均需要新建虚拟网络,虚拟网络名称、类型、子网地址需要与以下一致。
2、排查前需要将虚拟机恢复到快照-考试环境
- 排查时可以按照电脑配置、排查思路自行开启相应虚拟机(建议最多开启2到3台)
- 如果要使用域账户登录机器,需提前开启DC01(域控)。
二、现场情况说明
1、网络拓扑
由于虚拟机无法实现交换机的虚拟VLAN隔离功能,所以采用了多网卡的方式实现区域隔离。
两个区域间能通信的机器,都有连线相连,且都配置有连线所代表的IP段的IP。没有连线直接相连的机器不能直接通信。
加域的机器:DC01,PC03,WebServer02,WebServer03。
2、资产信息
上述机器的登录信息和服务信息如下:
|
区域 |
主机名 |
IP地址 |
系统登录信息 |
服务信息 |
|
A |
PC01(win7) |
192.168.255.? |
PC01\administrator:testpc01. | |
|
A |
PC02(win7) |
192.168.255.? |
PC02\administrator:testpc02. | |
|
A |
PC03(win7) |
192.168.201.113 |
PC03\administrator:testpc03. | |
|
A |
WebServer01(CentOS) |
192.168.255.? |
root:testsv01. |
nginx,docker |
|
A |
WebServer02(win2008) |
192.168.255.? |
webserver02\administrator:testsv02. |
xampp,tomcat |
|
B |
WebServer03(win2008) |
192.168.206.131 |
webserver03\administrator:testsv03. |
xampp |
|
核心区 |
DC01(win2012) |
192.168.203.100 |
DC01\administrator : Abc123456/ |
域名:hack.com |
3、情况说明
2025年3月18日,某单位运维人员在上班时发现自己的电脑(PC03)被加密勒索,随后立即排查服务器区,发现1台服务器(WebServer03)被加密勒索,域控(DC01)被加密勒索,随后立即向上级汇报。对部分机器进行下线,部分机器由于业务重要,无法下线。经协调,我司派出应急人员到现场进行排查处置。
经沟通了解到客户现场没有安全设备,客户提出如下需求:
1、确认该单位3台终端和服务器被加密的来源和方式;
2、确认其他终端和服务器是否有问题;
3、WebServer01上有该单位的重要数据库,需要确认数据是否安全。
4、提供安全建议。
4、机器说明
(以下表述是根据运维的口吻)
2025-03-16及以前的痕迹不用管。
除了192.168.201.* - 192.168.206.*,其他都算作公网IP。
PC01和PC02都是办公终端,可以联网
PC03是A地的运维机器,不能连外网,可以连到其他所有网络。
A地DMZ区都可以联网。
Web01:我们平常都是用root账号进去运维。里面有docker服务,宿主机和docker开放的端口都用宿主机上的nginx做了代理。
Web02:是我们的测试机器,上面用xampp部署了很多测试的服务。
B地DMZ区是内部服务,不能联网。
Web03:在A地只有域控可以连到Web03。
DC01:域控除了本身的功能,与其他机器没有别的业务联系。平常我们操作域控都是直接到机房去用桌面登录。
总体情况:
我们只知道3台机器被勒索了,不知道其他机器有没有问题,麻烦帮我们排查一下,给出结论。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
