铤而走险-诈骗站点溯源

admin 2024年7月8日07:21:56评论10 views字数 905阅读3分1秒阅读模式

前言:在出完上文后,我自己下来又大致想了一下,虽然不知道该诈骗站点以何种方式谋利

虽然知道接下来的做法亦有可能对我自身不利,管他那么多呢

话不多唠(打个广告,没关注公众号的师傅们,点点小关注,多帮忙转发转发)往下看操作。

溯源手法之利用已占据优势溯源

1、上篇文章有写到过是在三台主机中获取了bt权限,这里分别上三台bt查看了所登录的手机号是否相同

铤而走险-诈骗站点溯源

遗憾的是,所有主机,均未登录宝塔

2、思路转变,进一步利用已有资源进行收集,上文说了,我们是通过ak sk最终获取到的权限,所以这里尝试登录oss查看历史登录及操作记录的IP

铤而走险-诈骗站点溯源

铤而走险-诈骗站点溯源

发现确实存在大量告警,在告警中也找到了大量ip记录

铤而走险-诈骗站点溯源

挨个看,这里把所有的登录ip及操作ip都给记录下来了,稍后再做清洗

3、上主机继续查找线索

首先就是history,查看历史操作,显然除了这几台主机外,该团伙存在其余主机

铤而走险-诈骗站点溯源

tips:这里发现了一个比较有趣的东西

铤而走险-诈骗站点溯源

铤而走险-诈骗站点溯源

如何利用,这里藏题,各位师傅可以下来自行交流

往后就是收集登录ip

五花八门收集下来也有挺多,也都统一保存,后续清洗

4、这里铤而走险,之前在做渗透时改的bt密码,后续被改回了,此次再次进行修改,上宝塔进一步的做收集

铤而走险-诈骗站点溯源

甚至可以看到最近一次登录就在昨天……问题不大,将所有主机的信息收集好后,进行下一步的数据清洗

5、清洗后的数据进行分析

Oss数据分析

在整理oss中出现的数据时,发现除部分境外ip外,大量ip指向中国江西省xx xx

记录此重要线索,继续往下分析

登录数据分析

从登录IP中可得仍存在中国江西省xx xx区登录地ip

往后记录的便是均为香港地区的ip,该登录ip为某服务器ip地址,这里推断如下,团伙在首次登录服务器,进行配置后,使用主机ssh对其他主机进行登录操作,以减少ip的记录

Bt数据分析

宝塔中所记录数据均为香港地区,疑似开了代理

整合所有数据进行分析,基本可以确认团伙位于中国江西省xx xx

6、后续将所有分析得到的ip均存档,并交由相关单位处理

铤而走险-诈骗站点溯源

后续具体溯源内容这里不方便暂时,此篇文章发出对我生活可能会造成小有的影响,也希望各位师傅能够以己之力努力维护网络净土。

原文始发于微信公众号(两年半网安练习生):铤而走险-诈骗站点溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日07:21:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   铤而走险-诈骗站点溯源https://cn-sec.com/archives/2929180.html

发表评论

匿名网友 填写信息