电脑疯子技术论坛|电脑极客社区境外黑客组织？500分！记一次溯源境外黑客组织境外黑客组织？500分！记一次溯源境外黑客组织全文已做脱敏处理攻击IP xxx.xxx.xxx.xxx受害IP xxx.xxx.xxx.xxx攻击行为 xx攻击次数 xx溯源流程1，拿到目标后第 ... - Powered by PCGHO!

设为首页收藏本站

只需一步，快速开始

切换到宽版切换风格

电脑疯子技术论坛|电脑极客社区»技术论坛 › 电脑疯子|资源分享 › 电脑教程分享 › 帖子

境外黑客组织？500分！记一次溯源境外黑客组织

2996 0


	境外黑客组织？500分！记一次溯源境外黑客组织全文已做脱敏处理攻击IP xxx.xxx.xxx.xxx 受害IP xxx.xxx.xxx.xxx 攻击行为 xx 攻击次数 xx 溯源流程 1，拿到目标后第一时间对目标进行威胁情报查询发现此IP已归纳在恶意IP中。 2，对IP进行初步探测，使用全端口扫描扫描时可适当提高扫描速率但不能太快速率太快会导致丢包漏扫。 3，扫描探测出存在8080端口，且为tomcat应用，尝试访问/manager/html 成功访问。 4，将制作好的jsp免杀木马通过war包形式上载成功 5，使用冰蝎成功连接且为root权限 6，对ssh连接信息，网络连接信息等分析后都未得到有效信息 7，在文件系统中继续探索按时间排序后发现了攻击者留下的可疑文件打开后发现为IP 列表和签名猜测为攻击者攻击或拿下的其他IP。 8，将此信息放入搜索引擎中查询得到多个社交网站信息团队信息以及被攻击者拿下的其他网站。 9，同时在目录下发现了名为rev.pl的perl脚本和top100弱口令经过分析为pentestmonkey编写的反弹脚本猜测攻击者使用此机器对全网进行扫描渗透使用弱口令+反弹的流程批量拿shell。总结拿到后首先做被动扫描避免提前惊动攻击者可使用威胁情报 fofa等工具。当拿到之后首先确认端口是否开启若端口开启较少也可使用masscan进行全端口扫描但速率不宜过快以免丢包或引起攻击者警觉。如遇到WEB服务请使用虚拟机访问，避免蜜罐与浏览器0day攻击。拿到shell后首先做好持久化，且做好下载与截图操作方便取证。查看ssh等连接的连接IP，网络连接状态。查看文件时注意文件日期同时注意防止攻击者伪造文件时间戳。

回复

VIP荣誉会员

1 关注	0 粉丝	9021 主题

精彩推荐

电脑疯子 GHOST WIN7 X86 快速装机版202001

电脑疯子 GHOST WIN7 X64 快速装机版202001

电脑疯子技术论坛GHOST WIN10X86 快速装机

电脑疯子GHOST WIN10X64 快速装机版201812

热门资讯

网友晒图

手机版|小黑屋|VIP|电脑疯子技术论坛 ( Computer madman team )

GMT+8, 2024-4-26 18:08

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.

返回顶部 返回列表