1、监测告警日志分析
在监控平台上告警发现多个IP对门户网站进行各种类型的远程代码执行攻击。
攻击告警详情如下:
2、攻击行为分析
研判分析人员对攻击IP的流量进行分析,此番攻击涉及5个攻击源IP地址攻击手法主要采用远程命令执行权限类攻击,共发起50次攻击
分析人员对这些攻击IP的日志进行分析,发现每次攻击的测试负载,回连域名都是test.XXXX.cn,所以判断这些IP的攻击来源均为同一来源。
详细特征如下:
1)域名IP定位:
查询域名真实IP为149.xxx.xxx.105,归属地为美国加利福尼亚州。
2)域名关联分析
对域名进行进一步探测发现子域名admin.XXXX。cn为常用的DNSlog平台。
通过弱口令,成功进入DNSlog平台
其配置的子域名host为test.XXXX.cn,与前面提到的攻击测试负载中域名地址一致,其攻击测试负载也恰好通过dnslog平台进行漏洞验证,因此能够证明攻击来源于admin.XXXX.cn和test.XXXX.cn。
3)攻击域名反查溯源
对域名进行whois查询发现域名属于XXXX *** 有限公司
对XXXX *** 有限公司进一步探查该公司主营业务为信息安全,信息技术开发并长期 *** 渗透测试工程师
其官网地址:https://www.XXXXXX.com/
XXXX *** 有限公司业务包含:XXXX监测系统:www.XXXXX.com
通过官网平台,获取到XXXX *** 有限公司的联系 *** :0XXX-8XXXX9695 4X0-8XXX9-1XXX
4) *** 录音取证
通过 *** 沟通确认为本次攻击行为由“XXX**局XXX”使用了XXXX *** 有限公司的相关安全产品,所以导致远程命令执行漏洞的攻击测试的回源地址均指向了域名归属于XXXX *** 有限公司的“XXXX.cn”。
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia6...
压力越来越大,我在网络赌博输了钱能报警追回吗?我真的很不甘心 山穷水尽甚至连活着的勇气都没有,我恨我自己把自己推向了不归路。这期间自己对于去堵输得悔恨和自责,还有面对巨额堵债的束手无策,不堵又不知道...
. 孩子成长过程中需要不断的教育和指导,吃饭,睡觉,行为习惯等等,经常会有说教不听,不长记性的时候,暴力并不是解决问题的唯一方法,那么对孩子说教总是不听怎么办?下面友谊长存带来介绍。 对孩子说教总...
拒收快递还需付运费吗(物流拒收运费谁负责)在某宝上,支持七天包退包换的商品,一般是可以拒收的,且拒收是不需要消费者承担运费的。那么物流发生拒收的情况,运费该怎么算呢? 6月份孙先生发一批货物从...
我相信在很多人眼里,域名投资是一个容易“以小博大,创造高利润”的行业,然而高利润的背后其实也是投资人付出努力的回报,他们需要掌握一定的经验、技巧和套路,才能有更多机会把域名卖出更高价。 对于企业或者...
在世间大量淘宝客网站纷纷消失之际,淘宝客的传奇——美丽说尽然迎难而上,势头强劲,达成百度权8,成为国内最大的淘宝客网站。美丽说网站SEO何其厉害,为什么能够在短短三年时间达到这样登峰造极的程度,请见美...