前言:在出完上文后,我自己下来又大致想了一下,虽然不知道该诈骗站点以何种方式谋利
虽然知道接下来的做法亦有可能对我自身不利,管他那么多呢
话不多唠(打个广告,没关注公众号的师傅们,点点小关注,多帮忙转发转发)往下看操作。
溯源手法之利用已占据优势溯源
1、上篇文章有写到过是在三台主机中获取了bt权限,这里分别上三台bt查看了所登录的手机号是否相同
遗憾的是,所有主机,均未登录宝塔
2、思路转变,进一步利用已有资源进行收集,上文说了,我们是通过ak sk最终获取到的权限,所以这里尝试登录oss查看历史登录及操作记录的IP
发现确实存在大量告警,在告警中也找到了大量ip记录
挨个看,这里把所有的登录ip及操作ip都给记录下来了,稍后再做清洗
3、上主机继续查找线索
首先就是history,查看历史操作,显然除了这几台主机外,该团伙存在其余主机
小tips:这里发现了一个比较有趣的东西
如何利用,这里藏题,各位师傅可以下来自行交流
往后就是收集登录ip
五花八门收集下来也有挺多,也都统一保存,后续清洗
4、这里铤而走险,之前在做渗透时改的bt密码,后续被改回了,此次再次进行修改,上宝塔进一步的做收集
甚至可以看到最近一次登录就在昨天……问题不大,将所有主机的信息收集好后,进行下一步的数据清洗
5、清洗后的数据进行分析
Oss数据分析
在整理oss中出现的数据时,发现除部分境外ip外,大量ip指向中国江西省xx市 xx区
记录此重要线索,继续往下分析
登录数据分析
从登录IP中可得仍存在中国江西省xx市 xx区登录地ip
往后记录的便是均为香港地区的ip,该登录ip为某服务器ip地址,这里推断如下,团伙在首次登录服务器,进行配置后,使用主机ssh对其他主机进行登录操作,以减少ip的记录
Bt数据分析
宝塔中所记录数据均为香港地区,疑似开了代理
整合所有数据进行分析,基本可以确认团伙位于中国江西省xx市 xx区
6、后续将所有分析得到的ip均存档,并交由相关单位处理
后续具体溯源内容这里不方便暂时,此篇文章发出对我生活可能会造成小有的影响,也希望各位师傅能够以己之力努力维护网络净土。
原文始发于微信公众号(两年半网安练习生):铤而走险-诈骗站点溯源
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论