HVV | 记一次护网Webshell告警分析研判,真真假假

admin 2024年10月29日22:13:37评论22 views字数 1447阅读4分49秒阅读模式

前言

首先是发现 qax 的设备出现 Webshell 通信告警,设备并没有判断攻击为失败,当然也没有说沦陷,而是企图,并且还出现好几次呢。

那当然不能放过它,研判走起来!

HVV | 记一次护网Webshell告警分析研判,真真假假

莫慌,先不看后面的内容,就单纯以上述这张图为主,看一看瞧一瞧,你是否能确定攻击成功 or 失败?

当然,不管成功或失败,反正接下来走一走研判的过程。

首先肯定是常规思路,设备告警分析分析、内网设备查一查,完犊子,啥也没查到,好好好!

那就换个方向查,来个新奇的思路,大不了权当练手也行喽,当信息收集来实践也不错(反正也没啥事 bushi)。

开干

既然已经有公网 ip(114.x.x.116)了,那我就想直接尝试 ip 反查一下域名,结果是失败的,发现没有绑定任何域名。

HVV | 记一次护网Webshell告警分析研判,真真假假

行,那我不管三七二十一,直接访问 ip 完事,看看效果,结果直接访问就出现了如下页面,这啥啊,错误???

HVV | 记一次护网Webshell告警分析研判,真真假假

咋办?那就威胁情报瞧一瞧,ip 一搜发现是腾讯云(广州),安全性未知(白 ip)?然后还定位到了这个 ip 下的数字证书以及公司(深圳市 xxxxx 股份有限公司)和域名(*.xxx.com.cn)

这里也查了好几个威胁情报,都没有报危险。

所以查到这里朋友们,虽然才查了几步,但一眼丁真,越查越看越觉是误报。不过没关系啦,既然都走到这里了,继续往后看,来它个百分之百确定!

HVV | 记一次护网Webshell告警分析研判,真真假假

都知道是什么公司了,那就直接上搜索引擎搜索公司名呗,这里搜索到公司官网了,进去看看。

HVV | 记一次护网Webshell告警分析研判,真真假假

访问官网(www.xxxxxx.com.cn),没问题,这个域名和前面证书上看到的域名对上了,ok

HVV | 记一次护网Webshell告警分析研判,真真假假

那这个域名对应的会不会就是最开始的那个 ip 呢?

虽然可能性比较小,但还是 ping 一下这个域名看看,这......解析出来的 ip(59.x.x.39)和最开始的 ip 对不上哦。

HVV | 记一次护网Webshell告警分析研判,真真假假

试试全球 ping,也是一样的结果(网站没挂 CDN,且还是这个 ip)。

HVV | 记一次护网Webshell告警分析研判,真真假假

然后我访问了一下最开始的 ip 和官网域名,发现一个奇怪现象!两者都有证书,并且长得一模一样,但是一个可信一个不可信??说实话没搞清楚啥原因,求大佬解答。

HVV | 记一次护网Webshell告警分析研判,真真假假

还是差点意思,然后我就想看一下 114.x.x.116 的页面源代码,哦,发现一个子域名(wenxxx.xxx.com.cn)。

HVV | 记一次护网Webshell告警分析研判,真真假假

访问子域名,有东西。

HVV | 记一次护网Webshell告警分析研判,真真假假

最后 ping 一下这个子域名,不通没事,解析到的 ip 和最开始的 ip 对应上了,最终这就都对上了。

HVV | 记一次护网Webshell告警分析研判,真真假假

最后我们确定了公网 ip 确实是来源于这家公司,而这家公司我们是可信的,那不就是一个纯纯的 100% 误判。

除非!!除非!!这家公司被攻击、公司网站服务器被拿下,成为了攻击者跳板,这不至于不至于。

最后又把设备告警看了一看、内网设备查了一查,确实啥也没有,太可惜了,我都准备好溯源反制了......

下次来个被攻击成功的应急溯源

关注公众号,不迷路

HVV | 记一次护网Webshell告警分析研判,真真假假

END

墙裂推荐!!一键更换Linux优质的软件源和docker源,要多方便有多方便
frp | 开源内网穿透利器,速速用起来
大闹天宫 | 被安全社区誉为可以“黑掉整个宇宙”的神器-1
Metasploit漏洞利用 | 被安全社区誉为可以“黑掉整个宇宙”的神器-2
Metasploit木马生成 | 被安全社区誉为可以“黑掉整个宇宙”的神器-3
内网渗透 | MSF&FRP | 无法直接访问的目标如何通过搭建代理进一步渗透?
1024程序员节 | 渗透测试精准狙击目标内网服务-何为端口转发技术?
目标网络限制严格CS拿不到权限怎么办?试试这个高级玩法—隧道上线
点击关
HVV | 记一次护网Webshell告警分析研判,真真假假
!

原文始发于微信公众号(大伯为安全):HVV | 记一次护网Webshell告警分析研判,真真假假

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日22:13:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HVV | 记一次护网Webshell告警分析研判,真真假假https://cn-sec.com/archives/3329790.html

发表评论

匿名网友 填写信息