态势告警分析:
2023-09-04 09:41:13发现120.79.226.167对我局发起命令注入攻击
120.79.226.167经威胁情报查询为恶意ip
对其IP进行封禁后进行溯源
溯源攻击者:
对攻击ip120.79.226.167反查域名,得到coderpwh.net
ping该域名,得到ip120.79.226.167
查询域名备案可得coderpwh.net归属彭某
阿里云通过域名coderpwh.net找回用户名,得到模糊的手机号信息176******48
访问https://coderpwh.net
csdn搜索coderpwh,得到其csdn博客地址
通过csdn账号尝试找回账号,符合前述查询的手机号176******48
微博搜索coderpwh,找到uid号
社工库搜索微博uuid号,获得其手机号
通过手机号查询Q绑
通过github查询该qq号,找到对应的github链接,且发现其毕业学校为武汉某大学,并确认其身份
在github首页,发现Tencent可以确认是本次攻防演练的深圳腾讯攻击队
最后总结:
溯源攻击者的有用信息,不止步于网络社交ID,个人网站,博客,微博,年龄,真实姓名,手机号邮箱还有其所在大学,以及该攻击成员所归属的攻击团队
原文始发于微信公众号(信安404):记攻防演练的一次溯源案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论