網站伺服器木馬後門查詢之威脅情報分析

威脅情報，顧名思義它是威脅的情報，這個情報的產出是什麼，是人。也就是說透過很多人或者一些自動採集的裝置，形成的一個資料包告，就是威脅情報。那威脅情報有很多的平臺，這些平臺可以查出域名和IP地址的信譽度，如果我們們發現IP和域名的信譽度非常低，並且存在攻擊的行為，那迅速給它封禁。那舉個形象點的例子，比如現在小明，那小明欠了別人幾千塊錢，法院把它列為被執行人，他就變成老賴了。那這個時候你坐地鐵或者坐高鐵是不是就不行了，IP和域名的信譽度也是一樣的，你一旦被標記為攻擊IP或者木馬反連，這時候對於我們來說，你這個IP就沒有信譽度了，我發現你這個地址，我的服務在訪問你，就懷疑它是攻擊，那看一下有哪些平臺，這裡有幾個，我推薦的是第一個是微步，那看一下，這裡可以搜尋關鍵字IP運營，URL希，這裡的希是指惡意檔案的希，我上傳一個惡意檔案，把它解壓出來，預設密碼safehelper。

在備註裡因為我之前分析過了，所以它特別快，他有這麼多的資訊，那我們們在比如互網的時候最關注的什麼，他的IP的資訊，查到他的IP了，快速檢索我們們的網路裝置和安全裝置，看有沒有此IP傳送的請求，或者從內部向他傳送的請求，搜尋一下這個IP地址是什麼，那就不能用雲砂箱，還在微博線上剛才的搜尋欄，這裡邊是它的一些信譽度，也就和我們們的信用卡一樣，你消費過度了，看他執行了CS的木馬，被人標記了這時候我們們就百分百確定它是一個攻擊IP，那馬上將它封禁就可以了。

其他的其實也一樣。那看一下，這是給大家特別特別推薦去查木馬的一個沙箱，看我把剛才的惡意軟體上傳到上去，看這裡邊有相當多的防毒軟體，60%或者70以上都報它為惡意木馬或者病毒後門，這時候你就肯定就要把 IP封禁了，就是說透過剛才微博線上就直接封禁了。因為可能在這兒你查出來那個檔案，他也訪問了這個IP，但你查過一些情報，這個IP是完全沒有被消費過的，也就是說它他這塊沒有任何發現情報，那你就是第一個發現情報的人，你發現它就是木馬，那它又反向這個 IP，說明他做了免殺。其他的幾個大家去嘗試一下，我不一一說了，那大概都是這個樣。關於威脅情報的就講到這裡如果遇到伺服器中了後門木馬無法查殺和排除的話可以向伺服器安全服務商SINE安全尋求技術排查。