【蜜罐捕获】捕获到一个DDoS病毒以及其对外攻击记录

admin

IOC：
80.211.154.250:34181
173.89.234.119:13568

---

今天凌晨蜜罐系统上行带宽突然跑满
我就知道这里面一定有故♂事
上传带宽跑满导致SSH连接卡顿 索性直接限制蜜罐系统的总带宽
终于可以连接了
连接上之后先暂时取消总带宽限制 看下上层服务器的流量截图

发送33.9Mbps 疯狂发包！
重新限制蜜罐系统的总带宽 通过SSH发现CPU跑满

既然上传带宽满载 那么我们在上层服务器抓一下数据包（解压密码为：www.zhanyingwl.com）

蜜罐系统对IP为173.89.234.119的服务器疯狂发包
攻击目标服务器的13568端口
而且所有数据包的内容都是相同内容的（可以点我下载抓包文件）
既然蜜罐系统捕捉的病毒正在对外攻击，那么我们看下是哪个病毒在搞事情
同时寻找C&C服务器
查看网络连接，针对udp协议

发现udp协议内的 ESTABLISHED 状态网络连接数量为6个
其中有一个进程正在对外发包病毒进程名为：lkz
同时获取到对应C&C服务器IP：80.211.154.250 监听端口：34181