戟星安全实验室
本文约800字,阅读约需2分钟。
0x01 日志截取
客户给出的攻击时间为4点(没有太具体)
那么从定位4点整的日志记录,将后续日志存入新文件(命名为:X文件)。
0x02 日志分析
根据客户这边给出的信息有dnslog、ceye、burpcollaborator.net
对X文件查找ceye发现发现log4j攻击行为。
查找多个ceye关键字发现,攻击者请求IP不同,故可能使用代理池。
因攻击者payload带有jndi等关键字,通过正则匹配取出所有jndi关键字请求日志。
通过正则进一步提取payload,发现攻击者有使用自己的VPS部署ldap服务,尝试利用。
得出攻击者IP如下:
101.xx.xxx.158124.xx.xxx.17
得出攻击者ceye唯一标识(每个注册用户唯一标识为xxxx;xxxx.ceye.io)如下:
ioxxxn.ceye.ioeoxxxk.ceye.iovhxxxi.ceye.io
通过以上两个IP、三个ceye,推断为1-3个攻击者,疑似好基友一起攻击。
0x03 攻击者IP溯源
确认攻击者个人VPS后,探测两个IP全端口、空间测绘,发现攻击者曾使用80作为CS通信端口、200*端口为CTF php审计练习题。。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(戟星安全实验室):记一次log4j日志分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论