2019年5月中旬,蜜罐体系监测到了一同进犯事情,引起了咱们的留意,小伙伴们敏捷跟进分析,并经过技术手段拿下黑客操控端服务器,发现黑客运用了一款名为“神起ddos集群”的软件,操控了3000+的僵尸 *** 肉鸡,经分析发现该僵尸 *** 首要运用路由器、摄像头号设备,且规划数量在继续添加。
下面来看看咱们是怎么一步步发现并溯源该僵尸 *** 的。
1 蜜罐告警
首要,2019年5月16 日15:47分收到蜜罐一条告警信息,发现有黑客侵略了咱们布置的蜜罐体系,日志如下:
图 1.1 蜜罐日志
经过日志能够看到,黑客侵略后履行的动作很简略,从长途服务器下载远控木马后履行。经过分析,发现该服务器是用HFS服务建立,有三个样本,其间,样本666是针对 ARM架构设备的,下载量是 3000+;样本s360, s361 是针对x86架构的ELF(linux体系)文件,下载量各在 200+。
图 1.2 HFS服务器
2 进犯反制
经过技术手段反渗透到黑客HFS服务器(详细细节不做泄漏,你懂的),获取了进一步的信息,以下截图为黑 *** 务器桌面,发现黑客运用的是腾讯微云主机,该主机不仅仅下载服务器并且是长途操控主机。
图 2.1 黑 *** 务器桌面
3 黑客行为分析
拿下黑 *** 务器后,服务器上的一些文件引起了咱们的留意,一同来看看这个“专业”的小黑客是怎么一步一步操控归于自己的僵尸 *** 的。
3.1 信息搜集
图 3.1.1 IP段搜集
从服务器上的文件来看,小黑客仍是做了许多准备工作的,包含收拾各种活泼ip端,比方敞开3306、 1433端口的活泼ip:
图 3.1.2 活泼IP段
黑客不只仅搜集了上述IP数据,在“收藏IP 段“这个文件夹里边发现了更多(包含国内各个省份的IP 段):
图 3.1.3 省份IP段
IP信息搜集比较广泛,不只有国内各个省份包含IDC机房的IP 段,还有国外多个国家、区域的 IP段:
图 3.1.4 国外服务器IP段
图 3.1.5 国外IP段
3.2 暗码字典
有了上面的IP信息搜集后,黑客还需要一个强壮的字典来完结后面的进犯行为,在服务器上找到了这些暗码字典:
图 3.2.1 暗码字典
发现这些字典仍是很具有针对性的,有通用字典,有专门针对数据库、操作体系的字典,还有专门针对国外服务器的字典:
图 3.2.2 字典示例
3.3 进犯东西
“工欲善其事必先利其器”,有了前面两步的信息之后,就需要有一个高效的自动化进犯东西去完结爆炸和植马,该黑客运用了下面这款东西:
图 3.3.1 SSH爆炸东西
下图是爆炸成功后履行的指令,能够看到跟咱们蜜罐捕获到的日志是共同的:
图 3.3.2 履行指令
看到这儿,你或许会想,这仅仅一个简略的SSH爆炸,真的能有什么作用吗?看一看黑客正在履行的扫描使命便知道了:
[1] [2] [3] [4] 黑客接单网
榜首眼看这个应战,通常是过滤一些字符或许添加一些约束来阻挠指令履行,我经过输入&id到addr域,成功回来履行成果,能够确认这是一道指令履行的应战题。 下一步咱们来找出过滤和约束。经过测验,咱...
近来,闻名硬件黑客Samy Kamkar运用5美元设备打造的黑客东西PoisonTap,只需30秒,就可以攻破设置有恣意暗码的电脑体系,并完成长时间后门装置。PoisonTap不是暴力破解暗码,而是...
在探究Flask/Jinja2中的服务端模版注入Part1中,我开端的方针是找到文件的途径或许说是进行文件体系拜访。之前还无法达到这些方针,可是感谢朋友们在之前文章中的反应,现在我现已可以完成这些方针...
JSON Hijacking缝隙的具体使用,有点相似与CSRF,不过原理使用方法不同,在这边文章我侧重解说json跨域绑架的使用环境建立与方法。 0×01缝隙的发掘 一般发掘的过程中,burpsuit...
本文介绍了怎么完结谷歌最新的XSSGame的进程,完结了这八个应战就有时机取得Nexus 5x。实际上这八个应战整体来说都不难,都是些常见的xss。通关要求是只要能弹出alert窗口即可。 第一关...