前言
首先是发现 qax 的设备出现 Webshell 通信告警,设备并没有判断攻击为失败,当然也没有说沦陷,而是企图,并且还出现好几次呢。
那当然不能放过它,研判走起来!
莫慌,先不看后面的内容,就单纯以上述这张图为主,看一看瞧一瞧,你是否能确定攻击成功 or 失败?
当然,不管成功或失败,反正接下来走一走研判的过程。
首先肯定是常规思路,设备告警分析分析、内网设备查一查,完犊子,啥也没查到,好好好!
那就换个方向查,来个新奇的思路,大不了权当练手也行喽,当信息收集来实践也不错(反正也没啥事 bushi)。
开干
既然已经有公网 ip(114.x.x.116)了,那我就想直接尝试 ip 反查一下域名,结果是失败的,发现没有绑定任何域名。
行,那我不管三七二十一,直接访问 ip 完事,看看效果,结果直接访问就出现了如下页面,这啥啊,错误???
咋办?那就威胁情报瞧一瞧,ip 一搜发现是腾讯云(广州),安全性未知(白 ip)?然后还定位到了这个 ip 下的数字证书以及公司(深圳市 xxxxx 股份有限公司)和域名(*.xxx.com.cn)
这里也查了好几个威胁情报,都没有报危险。
所以查到这里朋友们,虽然才查了几步,但一眼丁真,越查越看越觉是误报。不过没关系啦,既然都走到这里了,继续往后看,来它个百分之百确定!
都知道是什么公司了,那就直接上搜索引擎搜索公司名呗,这里搜索到公司官网了,进去看看。
访问官网(www.xxxxxx.com.cn),没问题,这个域名和前面证书上看到的域名对上了,ok
那这个域名对应的会不会就是最开始的那个 ip 呢?
虽然可能性比较小,但还是 ping 一下这个域名看看,这......解析出来的 ip(59.x.x.39)和最开始的 ip 对不上哦。
试试全球 ping,也是一样的结果(网站没挂 CDN,且还是这个 ip)。
然后我访问了一下最开始的 ip 和官网域名,发现一个奇怪现象!两者都有证书,并且长得一模一样,但是一个可信一个不可信??说实话没搞清楚啥原因,求大佬解答。
还是差点意思,然后我就想看一下 114.x.x.116 的页面源代码,哦,发现一个子域名(wenxxx.xxx.com.cn)。
访问子域名,有东西。
最后 ping 一下这个子域名,不通没事,解析到的 ip 和最开始的 ip 对应上了,最终这就都对上了。
最后我们确定了公网 ip 确实是来源于这家公司,而这家公司我们是可信的,那不就是一个纯纯的 100% 误判。
除非!!除非!!这家公司被攻击、公司网站服务器被拿下,成为了攻击者跳板,这不至于不至于。
最后又把设备告警看了一看、内网设备查了一查,确实啥也没有,太可惜了,我都准备好溯源反制了......
下次来个被攻击成功的应急溯源
关注公众号,不迷路
END
往期精彩回顾
原文始发于微信公众号(大伯为安全):HVV | 记一次护网Webshell告警分析研判,真真假假
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论