记一次对某境外网络攻击组织的溯源

最新推荐文章于 2023-09-18 14:06:46 发布
最新推荐文章于 2023-09-18 14:06:46 发布
阅读量3.1w 收藏 3
点赞数 1
分类专栏: 原创 文章标签: shell 信息安全 网络安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaolin_ying/article/details/115677526
版权

记一次对某境外网络攻击组织的溯源

  • 全文已做脱敏处理
攻击IPxxx.xxx.xxx.xxx
受害IPxxx.xxx.xxx.xxx
攻击行为xx
攻击次数xx

溯源流程

  1. 从监测组手中拿到目标后,第一时间对目标进行威胁情报查询,发现此IP已归纳在恶意IP中。

    image-20210413195429357

  2. 对IP进行初步探测,使用全端口扫描,扫描时可适当提高扫描速率但不能太快,速率太快会导致丢包漏扫。

    image-20210413195510619

  3. 扫描探测出存在8080端口,且为tomcat应用,尝试访问/manager/html,成功访问

    image-20210413195520156

  4. 将制作好的jsp免杀木马通过war包形式上载,成功

    image-20210413200920776

  5. 使用冰蝎成功连接,且为root权限

    image-20210413195616917

    image-20210413200942083

  6. 对ssh连接信息,网络连接信息等分析后,都未得到有效信息

    image-20210413201000261

    image-20210413200054983

  7. 在文件系统中继续探索,按时间排序后发现了攻击者留下的可疑文件,打开后发现为IP列表和签名,猜测为攻击者攻击或拿下的其他IP

    image-20210413200111870

  8. 将此信息放入搜索引擎中查询,得到多个社交网站信息,团队信息以及被攻击者拿下的其他网站。

    image-20210413201031291

    image-20210413201040974

    image-20210413200645539

  9. 同时在目录下发现了名为rev.pl的perl脚本和top100弱口令,经过分析为pentestmonkey编写的反弹脚本,猜测攻击者使用此机器对全网进行扫描渗透,使用弱口令+反弹的流程批量拿shell。

总结

  1. 拿到后首先做被动扫描,避免提前惊动攻击者,可使用威胁情报,fofa等工具。
  2. 当拿到之后首先确认端口是否开启,若端口开启较少也可使用masscan进行全端口扫描,但速率不宜过快,以免丢包或引起攻击者警觉。
  3. 如遇到WEB服务请使用虚拟机访问,避免蜜罐与浏览器0day攻击。
  4. 拿到shell后首先做好持久化,且做好下载与截图操作方便取证。
  5. 查看ssh等连接的连接IP,网络连接状态。
  6. 查看文件时注意文件日期,同时注意防止攻击者伪造文件时间戳。
逍遥哥G
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全学习篇之攻击溯源思路及案例
努力活着。
07-12 1万+
引言 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,
一次网络攻击处理
weixin_30781631的博客
06-09 151
Linux security 网络攻击 首先需要确定是哪一张网卡的带宽跑满,可以通过sar -n DEV 1 5 命令来获取网卡级别的流量图,命令中 1 5 表示每一秒钟取 1 次值,一共取 5 次。 命令执行后会列出每个网卡这 5 次取值的平均数据,根据实际情况来确定带宽跑满的网卡名称,默认情况下 eth0 为内网网卡,eth1 为外网网卡。 使用 iftop 工具排查 服务器内部安装 if...
澳大利亚加入美国和英国,指责俄罗斯黑客网络攻击
weixin_30932215的博客
05-12 131
  澳大利亚加入美国和英国公开指责俄罗斯发生“恶意”的全球网络攻击。这次袭击似乎是间谍活动的一次尝试,窃取知识产权并为将来对基础设施的攻击奠定基础。   去年,澳大利亚加入了一个协调的声明,宣布俄罗斯国家赞助的演员的责任归属。在美国和英国举行了罕见的协调电话会议上周一透露在2017年八月标识的恶意活动,他们的发现。   这些攻击以“智能安装”为目标思科路由器,并可能影响运行思科...
基于威胁情报的攻击组织画像与溯源
热门推荐
xumesang的专栏
01-27 1万+
原文:点击打开链接 一、溯源案例两则 (一)白象组织溯源​         首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,进而关注到“neeru”等一些有特殊意义的用户名,我们将其单独提出来,直接在Facebook等一些社交网站进行追踪,其中大部分是典型xx国人名,但人名也会有很多
一次网站国际化(多语言)
Ethan's Blog
03-24 576
技术栈是vue,利用的是vue-i18n库。 说是国际化不如说是vue-i18n的语言切换功能使用。 vue-i18n官方文档 前端国际化-veu-i18n源码解析 先实现一个小demo 1.安装和配置: 安装: yarn add vue-i18n 配置: 在main.ts(main.js)里配置一下: import ElementUI from "element-ui"; import "...
境外APT 组织“响尾蛇”对我国发起攻击事件报告.docx
09-15
境外APT 组织“响尾蛇”对我国发起攻击事件报告
橙色系境外旅游一站式服务网站html模板
02-24
橙色系境外旅游一站式服务网站html模板
财税实务:通过网络购买境外软件如何判断收入来源地?.pdf
11-28
财税实务:通过网络购买境外软件如何判断收入来源地? 通过网络购买境外软件如何判断收入来源地?这是一个常见的财税实务问题。根据提供的信息,我公司通过网络下载的方式取得境外软件的所有权和使用权,进而准备向...
RBF神经网络的境外旅游人数预测模型研究.pdf
09-25
首先对境外旅游人数变动统计分析,然后构造基于RBF神经网络的结构形式,通过预测种群构建、评估适应值、惩罚项设置、预测序列平稳性检验、模型预测五个过程完成了基于RBF神经网络的境外旅游人数预测模型的设计。...
境外规划设计事务所近年在中国大陆发展的录与思考参考.pdf
02-25
境外规划设计事务所近年在中国大陆发展的录与思考参考.pdf
JSRC-攻击溯源.pdf
08-04
JSRC 安全小课堂第109期,邀请到来自湖南金盾的总工程师Focusstart作为讲师就攻击溯源为大家进行分享
基于大数据和海量数据挖掘的攻击溯源技术
06-19
基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术
ip溯源技术的研究
01-13
ip溯源技术的简单研究,
一次黑客入侵(攻击)的应急响应
weixin_39096432的博客
04-04 975
一次黑客入侵(攻击溯源分析 管理员说感觉服务器被入侵了,没有特别明显的表象,所以思路比较简单:流量分析–>日志审计–>用户信息–>计划任务、开机启动项–>文件痕迹排查。 拿到的服务器基本情况: 1、没有部署安全设备(waf、IPS、IDS、防火墙以及安全狗等)是裸奔的服务器。 2、windons 2008R2系统 3、有流量监听软件,可获取数据流量。 一、流量分析 1、使用wireshark打开抓取到的数据流量 通过观察数据包发现存在大量的SMB协议流量,因为是windos 20
攻击溯源手段
mingyqf的博客
03-17 4816
转载至:https://www.eumz.com/2020-09/2000.html 攻击溯源手段 攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。 通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中
一次真实的被DDoS攻击经历(受到DDoS攻击原理和解决办法 / DDoS防护 / 网络安全
MFK0131的博客
07-09 890
上周,我们的网站遭到了一次DDoS攻击。虽然我对DDoS的防御还是比较了解,但是真正遇到时依然打了我个措手不及。上个月,我认识的一个朋友公司网站被DDoS攻击了,虽然他们公司之前也做过一些安全防护措施,但是当遇到真正的大流量DDoS攻击时就束手无策了。DDoS攻击方式有很多种,不同的攻击方式防御方法也有所不同,对于这种大流量攻击简单的防火墙是无法防御住的,最后经过多次尝试后还是选择接入了腾讯云的DDoS高防产品才解决了问题 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的Do..
一次勒索病毒攻击事件的处理过程
weixin_40111182的博客
08-02 2438
一次勒索病毒攻击事件的处理过程 一次勒索病毒攻击事件的处理过程 11时13分收到同事反馈,其电脑防病毒软件检测到勒索病毒或变种的攻击事件,攻击源:192.168.111.222 告知被攻击用户动作 紧急关闭445端口 查找攻击源使用人 根据IP-MAC录表及上网行为管理AC上用户管理-IP-MAC绑定未查到攻击ip。确定该用户为研发人员,禁止上网 利用nmap查看攻击信息 发现主机名...
网络安全攻防渗透之溯源
最新发布
ta737的博客
09-18 1247
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
服务器被入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2011
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
写一个境内境外文化交流平台的计划书
04-25
5. 营销策略:采用网络、媒体、广告等多种宣传手段,提升品牌知名度,吸引更多用户参与。 以上是本文对于“境内境外文化交流平台”的计划书,希望能够为您提供一定的参考和帮助。同时,也欢迎您在使用中对我们提出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值