1、监测告警日志分析
在监控平台上告警发现多个IP对门户网站进行各种类型的远程代码执行攻击。
攻击告警详情如下:
2、攻击行为分析
研判分析人员对攻击IP的流量进行分析,此番攻击涉及5个攻击源IP地址攻击手法主要采用远程命令执行权限类攻击,共发起50次攻击
分析人员对这些攻击IP的日志进行分析,发现每次攻击的测试负载,回连域名都是test.XXXX.cn,所以判断这些IP的攻击来源均为同一来源。
详细特征如下:
1)域名IP定位:
查询域名真实IP为149.xxx.xxx.105,归属地为美国加利福尼亚州。
2)域名关联分析
对域名进行进一步探测发现子域名admin.XXXX。cn为常用的DNSlog平台。
通过弱口令,成功进入DNSlog平台
其配置的子域名host为test.XXXX.cn,与前面提到的攻击测试负载中域名地址一致,其攻击测试负载也恰好通过dnslog平台进行漏洞验证,因此能够证明攻击来源于admin.XXXX.cn和test.XXXX.cn。
3)攻击域名反查溯源
对域名进行whois查询发现域名属于XXXX *** 有限公司
对XXXX *** 有限公司进一步探查该公司主营业务为信息安全,信息技术开发并长期 *** 渗透测试工程师
其官网地址:https://www.XXXXXX.com/
XXXX *** 有限公司业务包含:XXXX监测系统:www.XXXXX.com
通过官网平台,获取到XXXX *** 有限公司的联系 *** :0XXX-8XXXX9695 4X0-8XXX9-1XXX
4) *** 录音取证
通过 *** 沟通确认为本次攻击行为由“XXX**局XXX”使用了XXXX *** 有限公司的相关安全产品,所以导致远程命令执行漏洞的攻击测试的回源地址均指向了域名归属于XXXX *** 有限公司的“XXXX.cn”。
缅甸军方接管国家权力后举行首次政府会议 新华社仰光2月2日电(记者车宏亮 张东强)缅甸军方2日发表声明说,国防军总司令敏昂莱、代总统敏瑞和9名新任命的联邦政府部长当天在首都内比都举行首次政府...
本文导读目录: 1、我想当一名黑客现在零基础,首先我该做什么呢 2、hacker需要的软件! 3、成为黑客所需基础有哪些? 4、HACK黑客常用哪些工具 5、黑客常用的软件是什么啊?请...
人到老年因为身体机能衰退,继而骨量减少,引起骨质疏松容易骨折。为了给身体补钙,很多人从中年就开始饮用老年人奶粉“打预防针”。这就有疑问,市场上奶粉五花八门,中老年人喝什么奶粉好呢,中老年人奶粉哪个牌子...
朋友们大家了解ps怎么建立镂空雕花渐变色宣传海报呢?今日我很愿意与大伙儿共享ps渐变实际效果的做法,很感兴趣的能够来掌握掌握哦。 朋友们大家了解ps怎么建立镂空雕花渐变色宣传海报呢?今日我...
今天下午虎扑上的一个热帖: 帖子作者一直喜欢的女孩对他不冷不淡的,效果女孩昨晚竟然随着一个印度阿三去了住所, 还被强迫发生了关系,由于是处的缘故原由,对照疼就放弃了。 效果在帖子作者的一再追问下...
写作赚钱,这个词大家都不陌生,很多人选择写作,就是希望能通过写作赚些零花钱,甚至是当作是自己的主业。 但正如“二八定律”所决定的一些法则,如品牌法则——即20%的强势品牌,占有80%的市场份额...