一次梦中的应急响应

已于 2022-08-17 15:43:49 修改
阅读量476 收藏
点赞数
分类专栏: 安全笔记 文章标签: 安全 web安全 运维
于 2022-08-17 15:37:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/126135118
版权
本文通过一个虚构的故事,描述了作者在公司网络中发现蜜罐被扫描的情况,通过日志分析确定了攻击源,并揭示了黑客通过反向代理进行攻击的路径。黑客对公司的对外服务网站进行了多次尝试,最终成功入侵内部网络,但在横移过程中触发了蜜罐系统。文章详细介绍了从蜜罐感知到攻击链分析的过程,展示了网络安全防护的重要性。
摘要由CSDN通过智能技术生成

文章目录

前言

为了帮助大家理解掌握知识,幻想的公司和黑客,以下故事均为虚构,如有雷同,纯属巧合。

蜜罐感知

某天我在办公室摸鱼,突然发现蜜罐平台有一条扫描感知信息(192.168.10.78主机扫描同网段其他主机),我心里一惊,正常人都不会知道蜜罐的地址,更不会扫描蜜罐的端口。

日志分析

跟师傅说后越发越觉得不对劲,马上将192.168.10.78主机进行了下线隔离,然后起身跟大师傅去看这个机子的日志记录。

找到的日志记录大致如下:
在这里插入图片描述
nginx的日志格式可以看我之前的文章:https://blog.csdn.net/weixin_52444045/article/details/126085134

大致可以读出以下信息:
客户端ip:192.168.10.5
请求方式:GET
请求路径:/xxx/xxxxxxxx?
返回码:200
返回包字节:23143
X_Forwarded-For IP 地址:1.2.3.4
这个地址猜测是黑客真实ip

waf拦截记录分析

看到客户ip是192.168.10.5,猜测这个是一台反向代理,黑客打了反向代理的机子,被反向代理映射到了192.168.10.78的机子上。

然后去waf上面查询了192.168.10.5的被攻击的记录,下面比如是一个waf界面(虚构),大概有两千多条记录,各种攻击方法都尝试了……

攻击者ip也确实为1.2.3.4

在这里插入图片描述
反向代理文章:https://blog.csdn.net/weixin_52444045/article/details/126365366

攻击链分析

黑客发现了公司的一个对外服务网站,对其进行测试,尝试了2k次之后根据某一篇漏洞复现文章打进来了,达到了内网的192.168.10.78的机子上,然后提权、内网横移、域控

可惜在内网横移的过程中不小心扫到了蜜罐,导致被发现

sec0nd_
关注
专栏目录
应急响应场景及排查思路
aihua002的博客
06-19 696
正向连接即为本地监听端口,这种情况下多数为 4 位数或以下的端口号,且因为监听端口号是人为设定所以端口号有序,例如 1234、 5555、888、666、6666、7788、99、123 等。通常来讲,反弹 shell 的链接是长时间的连接,可以每间隔 60 秒查看一次,如果连续 2-3 次查看后依旧保持连接状态,则可判定为长期连接,需要重点关注。通过端口排查我们所发现的异常端口,可以通过排查进程进行详细确认,排查进程应养成习惯,无论是否找到异常端口对应的进程,都应该对所有的进程进行查看。
【玄机】-----应急响应
m0_63138919的博客
05-13 4597
玄机应急响应 题解 一起学习
第一章-应急响应-Linux 日志分析-玄机靶场
星河梦瑾的博客
10-30 1313
小计下玄机靶场的应急响应第一章的Linux 日志分析挑战思路。
第1篇:window入侵排查----应急响应
星河梦瑾的博客
09-29 1258
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
第4篇:Linux权限维持--应急响应之后门篇
星河梦瑾的博客
10-06 806
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。如果匹配成功就可以登录了。
第1篇:Windows权限维持----应急响应之权限维持篇
星河梦瑾的博客
10-04 995
攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。
第2篇:捕捉短连接----应急响应之Linux实战篇
星河梦瑾的博客
10-11 423
短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。
绿盟科技应急响应中心安全研究员邓永凯:那些年,你怎么写总会出现的漏洞...
CSDN业界要闻
12-01 1017
11月18号,2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家,在2017看雪安全开发者峰会汇聚一堂,只为这场“安全与开发”的技术盛宴。源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源。与之相对的是,解决代码的完整性与安全性,实现安全编码也成为减少漏洞的根本解决办法。但让人无奈的是,在编写数量繁多且关系复杂的代码过程中,...
复盘一次小公司遇突发流量的扑火抢救
weixin_33969116的博客
11-11 98
今天双十一,木有节目!!!静静写个文章吧 :-D 2018 年元旦前夕,公司业务系统流量突然增加 5~6 倍,然而并无相关预演或准备,于是乎系统瘫痪了,钱也不再进账了,对于小公司来说,痛并快乐着! 经过此次扑火抢救,个人总结了一些小经验,大厂用不上,但对总共就几个人的小微公司而言可能有些帮助。 PHP 技术栈,然而道理是相通的!不必纠结世界上最好的语言是哪个 :) 简略版 升级至 PHP...
大半个安全圈集体出动,只为了守护同一个梦.pdf
09-18
这篇文档讲述了安全行业内的一次公益活动,主题为"大半个安全圈集体出动,只为了守护同一个梦",聚焦于网络安全领域的专业人员对贫困学生的援助。活动由TSRC(腾讯安全应急响应中心)发起,并联合安全圈内的多个企业...
消防应急演练计划.pdf
11-06
演练的地点设定为施工现场大门(临时大道),时间安排在2014年的一个星期日上午9:00,之后每个季度进行一次。演练项目包括现场警戒隔离、伤员救护、灭火器使用、消防水袋连接等关键环节,确保在真实情况下能够有效...
消防应急预案试题.pdf
11-06
9. **定期维护与记录**:电梯应每3-5年进行一次全面大修,特种设备电梯的重大维修及年检合格后应在3个月内归档。 10. **应急响应与决策**:局部轻微着火应立即扑灭并报告,火灾发生时根据火情采取相应的组织指挥和...
小学消防应急演练总结.pdf
11-06
总的来说,此次消防应急演练不仅是对学生和教职员工的一次实践教育,也是对学校安全工作的一次全面检阅。通过总结经验,弥补不足,可以不断提升校园的消防安全水平,为创建平安校园打下坚实基础。
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 969
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
前端如何安全存储密钥,防止信息泄露
AM1n98的博客
10-30 1229
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
最新发布
tusik68的博客
11-01 1165
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 877
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
Linux系统安全配置
qq_24442273的博客
10-28 908
【代码】Linux系统安全配置。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1118
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
应急响应基础知识问答与流程详解
同时,选项分析题中强调了数据恢复和数据分析作为应急响应流程的一部分,排除了不正确的选项。 通过这些题目,测试者可以评估自己对应急响应的理解程度,并了解在实际操作中哪些方面需要进一步强化。理解并掌握应急...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sec0nd_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值