分享一次應急響應簡述

一、背景

幾周前接到某單位管理人員電話，說“您好，我單位某系統受到攻擊，現系統已癱瘓（想到系統已癱瘓，心理特別慌張，要寫溯源報告了），應用無法使用，需到現場進行排查”，隨後簡單問了一下網絡情況，就匆匆趕往客戶現場。

通過電話瞭解到的大致內容爲：該系統已處於癱瘓狀態、系統屬於內網未對互聯網開發端口、操作系統爲Windows server 2008、已做斷網處理。

二、現場排查

經過2小時後到達客戶現場，再次與系統管理人員確認情況，得到的信息與電話溝通的內容差不多。原本想先進入系統看看情況，確認一下問題，可是有其他廠家的人員在看，也不好意思，就等着看他操作，一等就等了1個小時。這期間他主要操作還是在看系統安全日誌，日誌查看一直追溯到事發前1周時間，在日誌的查看中並沒有發現問題，如果是我在操作我也會先查看一下日誌。

2.1、着手排查

通過之前的等待和其他人員的排查，在系統安全日誌上並未發現存異常問題。到這裏想到網絡癱瘓於是有了以下想法：

想法1：系統遭受到類似於DOS或者DDOS之類的攻擊；

想法2：系統存在web應用類漏洞，可能被上傳了shell，系統被控制了。

但想到該系統未開發應用到互聯網上，以上想法就不能成立，黔驢技窮了，一下子沒思路了，不能剛剛接手鼠標和鍵盤就沒有操作呀。頓時冷靜了一下，想到既然是應用癱瘓了，那先看看網絡活動的 TCP 連接情況。於是我用nestat -ano查看了tcp的連接情況，輸入完netstat -ano回車後，我的媽呀！什麼情況，爲什麼會有那麼多tcp的連接，我倒是驚訝了，足足登錄2分鐘信息才刷新完，刷新完成後，發現有太多的TIME_WAIT等待了。

爲了看的更清楚，我使用了netstat -ano | more命令，然後一頁一頁的翻，發現單位內部與該應用系統有通信IP的40000或50000以上的端口均處於TIME_WAIT狀態。這讓我想到了Windows 2008R2大量回話在TIME_WAIT狀態的一個BUG，在系統啓動時從 497 天后所有在TIME_WAIT狀態的 TCP/IP 端口都不會被關閉。因此， TCP/IP 端口可能會被用光，並且可能不會創建新的 TCP/IP 會話。

到這裏我將得到的信息反饋給管理人員，並詢問了系統的開機時間，該系統已開啓了500多天。管理人員並不是很接受，並說出了新的問題（這是我有開始有點慌了，難道不是這個問題嘛）“後臺程序出現接口無法調用的問題”：