前言
之前曾哥在微步上发过一个root目录的,我这个和他的也差不多,但是可能要比曾哥发的早两天,后面连续三天,每天都有这种类型
如果觉得太长的话,可以看下面的流程图,不太清晰的话,发送 “溯源” 获取svg文件
具体流程
溯源阶段
-
1. 对下发的高危ip进行溯源,扫描资产发现65500存在列目录
-
2. 进入后发现为root目录服务,并包含大量渗透钓鱼工具
-
3. 查看历史命令,在其中发现了测试邮箱
-
4. 通过查询发现该QQ绑定的相关信息,得到姓名、手机号、IDcard 等
-
5. 使用支付宝转账,验证姓名一致,并在名称下方发现第二个绑定邮箱:[email protected]
-
6. 该邮箱根域并非常见的163 qq等邮箱,通过查询whois信息,发现与上面的QQ查询到的姓名、邮箱相同
-
7. 使用语法搜索 xxx.cn 发现了博客,得到网名:xxxx 并找到github地址,微信等信息
-
8. 再次查看历史命令,发现包含疑似攻击者另一个域名,根据域名,猜测为攻击者代理api
-
9. 同样通过搜索语法,发现另一个博客 blog.xx.cc 发现与上面的博客 网名相同,在这个博客中发现了大量渗透文章,进一步验证此人具有攻击能力。
-
溯源阶段结束。
反制阶段
通过下载root目录全部文件,发现了某个工具的docker-compose.yml
在其中发现了另一台服务器,以及redis、数据库的配置用户名密码
扫描发现,该服务器只开放了3389端口,尝试利用redis的密码RDP连接
成功登录,发现浏览器中播放着网课
此时我还以为,这个服务器就是挂着刷网课的,没想到他真的在学习,查看桌面发现只有一个浏览器图标,刚查看完桌面就被挤下来了,后面就失去权限了
后面又使用相同的密码去登录攻击服务器,也成功登录了
这个攻击服务器是国外的,所以应该没有异地登陆提醒,因此权限一直没有掉
查看docker容器日志,发现cola dnslog的后台密码
登录后没有内容
后台成功绕过钓鱼邮件平台密码
共发现31种钓鱼受害者邮箱分类,合计3407个受害者邮箱
包含钓鱼邮件模板11种
钓鱼页面2个
发现SMTP账号10个
发现21个攻击配置
根据首页日志信息共发送1685份钓鱼邮件
其中打开邮件 1385个
点击链接 347个
提交数据 167个
原文始发于微信公众号(数据取证杂谈):记录某次 溯源反制 全过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论