1 情況概述
該案例是前期應急處置的一起因安全問題導致的內網不穩定的情況。寫下來，和大家一起討論應急響應的一些思路及其中間遇到的一些坑，歡迎大牛指點、討論。
情況是這樣的：某用戶發現在網絡經常出現內網中斷的情況，經其內部分析，初步判定可能為其在云上的一臺虛擬服務器(Linux)異常導致，但是前期對這臺虛擬主機進行常規的安全檢查與數據包分析，并沒有發現其有異常情況。但是用戶發現只要這臺虛擬主機接入網絡就會不定期出現內網中斷。該服務器對外只開放 ssh和80。用戶為保證其他服務器的安全及可用性，把這臺虛擬主機給下線了，但是這臺虛擬主機是否存在異常？為什么接入網絡會導致中斷？在初步分析沒有結論的情況下，我方介入協助分析。
2 整體分析
2.1 數據包分析
2.1.1 與183.61.171.154異常交互
我方介入后，根據實際情況，將這臺異常虛擬主機全部拷備放到一臺暫時沒有使用的服務器中，前期考慮可能是發送惡意報文導致某用戶內網服務器中斷，所以前期采用的方法是對這臺虛擬機的流量進行抓取分析，但是在抓取一段時間后，并沒發現異常。考慮到可能是不定期發包，因此決定進行長期抓包與系統全面分析的方法進行分析。下面是我方進行抓包分析情況：

抓包情況 
全量抓取 
抓取日期 
2016年10月26時 16:07至2016年 10月 28 日14:35 
抓包總時長 
1天22小時27分鐘 
包總大小 
75.3M 
虛擬主機IP地址 
192.168.61.130 
抓了近兩天的數據包，總共包大小為75.3M，從數量上看，包的數量相對較少，應該沒有進行大流量攻擊行為。繼續深入分析數據包:
從數據包中發現有一處報文交互存在可疑，對其深入分析，發現在2016年10月27日13:55:50時這臺虛擬主機主動外連183.61.171.154這臺主機的5896端口，并下載了一下bc.pl的文件，其源端口為37568，但是由于分析時，該端口已無會話信息，所以無法分析當時是哪個進程。下面是這個過程的情況：

報文交互過程
時間 
2016年10月27日 13:55:50 
源IP 
192.168.61.130 
源端口 
37568 
目的IP 
183.61.171.154 
目的端口 
5896 
下載的文件 
bc.pl 
文件類型 
Perl文件 
安裝目錄 
/tmp 
文件權限 
644 
交互信息

文件存放路徑
對bc.pl文件查看，其源碼如下：

bc.pl源碼
根據源碼分析，其使用有socket函數，并定義一些remoet_ip,remote_port等關鍵字，初步判定其為一個進行遠程控制用的惡意遠控程序的部分文件。
對183.61.171.154這個目的IP進行分析，發現其存在被僵尸網絡控制等情況，這臺主機可能并不是真正的原始攻擊者，攻擊者通過這臺主機作為跳板來攻擊其他主機。但是我們對這個 IP的分析，可以證明上面的會話的確存在異常。 

對其反向DNS解析，分析曾經有哪些域名掛在這個IP上，可以看出這個IP 頻繁的更換其對應域名，說明這個IP對應的主機可能早已被黑客控制，用來進行黑客行為。下面是其反向DNS信息匯總：


繼續深入分析，看看183.61.171.154這臺主機上是否存在惡意文件，通過下圖可以看出183.61.171.154這臺主機存在較多惡意腳本。

183.61.171.154存在惡意樣本分析
通過上面分析，可以看出183.61.171.154這臺存在惡意腳本，判斷為被黑客控制的機器，黑客使用這臺作為跳板來入侵其他設備，因此某用戶外連這臺主機并下載bc.pl 這個文件，通過各方面綜合分析，判定 bc.pl是一個用來進行遠程控制的惡意文件。
2.1.2 與65.118.123.162異常交互
直接分析HTTP數據包，發現除了上面介紹下載的bc.pl文件以外，還有大量的 HTTP 請求，請求的內容都為外連一個pl文件。


異常交互情況
提取相關信息，匯總如下：
源IP 
192.168.61.130