一、攻击发现

1、监测告警日志分析
在监控平台上告警发现多个IP对门户网站进行各种类型的远程代码执行攻击。
攻击告警详情如下：

2、攻击行为分析
研判分析人员对攻击IP的流量进行分析，此番攻击涉及5个攻击源IP地址攻击手法主要采用远程命令执行权限类攻击，共发起50次攻击
分析人员对这些攻击IP的日志进行分析，发现每次攻击的测试负载，回连域名都是test.XXXX.cn,所以判断这些IP的攻击来源均为同一来源。
详细特征如下：

二、溯源反制情况

1)域名IP定位：
查询域名真实IP为149.xxx.xxx.105，归属地为美国加利福尼亚州。

2)域名关联分析
对域名进行进一步探测发现子域名admin.XXXX。cn为常用的DNSlog平台。

通过弱口令，成功进入DNSlog平台

其配置的子域名host为test.XXXX.cn,与前面提到的攻击测试负载中域名地址一致，其攻击测试负载也恰好通过dnslog平台进行漏洞验证，因此能够证明攻击来源于admin.XXXX.cn和test.XXXX.cn。

3)攻击域名反查溯源
对域名进行whois查询发现域名属于XXXX *** 有限公司

对XXXX *** 有限公司进一步探查该公司主营业务为信息安全，信息技术开发并长期 *** 渗透测试工程师

其官网地址：https://www.XXXXXX.com/

XXXX *** 有限公司业务包含：XXXX监测系统：www.XXXXX.com

通过官网平台，获取到XXXX *** 有限公司的联系 *** ：0XXX-8XXXX9695 4X0-8XXX9-1XXX

4) *** 录音取证
通过 *** 沟通确认为本次攻击行为由“XXX**局XXX”使用了XXXX *** 有限公司的相关安全产品，所以导致远程命令执行漏洞的攻击测试的回源地址均指向了域名归属于XXXX *** 有限公司的“XXXX.cn”。

三、总结