1 情况概述
该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来，和大家一起讨论应急响应的一些思路及其中间遇到的一些坑，欢迎大牛指点、讨论。
情况是这样的：某用户发现在网络经常出现内网中断的情况，经其内部分析，初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致，但是前期对这台虚拟主机进行常规的安全检查与数据包分析，并没有发现其有异常情况。但是用户发现只要这台虚拟主机接入网络就会不定期出现内网中断。该服务器对外只开放 ssh和80。用户为保证其他服务器的安全及可用性，把这台虚拟主机给下线了，但是这台虚拟主机是否存在异常？为什么接入网络会导致中断？在初步分析没有结论的情况下，我方介入协助分析。
2 整体分析
2.1 数据包分析
2.1.1 与183.61.171.154异常交互
我方介入后，根据实际情况，将这台异常虚拟主机全部拷备放到一台暂时没有使用的服务器中，前期考虑可能是发送恶意报文导致某用户内网服务器中断，所以前期采用的方法是对这台虚拟机的流量进行抓取分析，但是在抓取一段时间后，并没发现异常。考虑到可能是不定期发包，因此决定进行长期抓包与系统全面分析的方法进行分析。下面是我方进行抓包分析情况：

抓包情况 
全量抓取 
抓取日期 
2016年10月26时 16:07至2016年 10月 28 日14:35 
抓包总时长 
1天22小时27分钟 
包总大小 
75.3M 
虚拟主机IP地址 
192.168.61.130 
抓了近两天的数据包，总共包大小为75.3M，从数量上看，包的数量相对较少，应该没有进行大流量攻击行为。继续深入分析数据包:
从数据包中发现有一处报文交互存在可疑，对其深入分析，发现在2016年10月27日13:55:50时这台虚拟主机主动外连183.61.171.154这台主机的5896端口，并下载了一下bc.pl的文件，其源端口为37568，但是由于分析时，该端口已无会话信息，所以无法分析当时是哪个进程。下面是这个过程的情况：

报文交互过程
时间 
2016年10月27日 13:55:50 
源IP 
192.168.61.130 
源端口 
37568 
目的IP 
183.61.171.154 
目的端口 
5896 
下载的文件 
bc.pl 
文件类型 
Perl文件 
安装目录 
/tmp 
文件权限 
644 
交互信息

文件存放路径
对bc.pl文件查看，其源码如下：

bc.pl源码
根据源码分析，其使用有socket函数，并定义一些remoet_ip,remote_port等关键字，初步判定其为一个进行远程控制用的恶意远控程序的部分文件。
对183.61.171.154这个目的IP进行分析，发现其存在被僵尸网络控制等情况，这台主机可能并不是真正的原始攻击者，攻击者通过这台主机作为跳板来攻击其他主机。但是我们对这个 IP的分析，可以证明上面的会话的确存在异常。 

对其反向DNS解析，分析曾经有哪些域名挂在这个IP上，可以看出这个IP 频繁的更换其对应域名，说明这个IP对应的主机可能早已被黑客控制，用来进行黑客行为。下面是其反向DNS信息汇总：


继续深入分析，看看183.61.171.154这台主机上是否存在恶意文件，通过下图可以看出183.61.171.154这台主机存在较多恶意脚本。

183.61.171.154存在恶意样本分析
通过上面分析，可以看出183.61.171.154这台存在恶意脚本，判断为被黑客控制的机器，黑客使用这台作为跳板来入侵其他设备，因此某用户外连这台主机并下载bc.pl 这个文件，通过各方面综合分析，判定 bc.pl是一个用来进行远程控制的恶意文件。
2.1.2 与65.118.123.162异常交互
直接分析HTTP数据包，发现除了上面介绍下载的bc.pl文件以外，还有大量的 HTTP 请求，请求的内容都为外连一个pl文件。


异常交互情况
提取相关信息，汇总如下：
源IP 
192.168.61.130