手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

记一次入侵应急响应分析

来源£º本站整理 作者£º佚名 时间£º2019-04-03 TAG£º 我要投稿

一¡¢情况简介
1.1发现存在入侵
2018年12月06日£¬我司“云悉”互联网安全监测平台监测到某政府单位网站存在被植入恶意链接¡£我司“捕影”应急响应小组进行分析后确认为真实入侵事件后£¬立即进入应急响应¡£
1.2应急处理分析结果
经过分析£¬判断此次事件为黑客恶意攻击所致£¬通过日志分析等£¬目前得到以下结论:
1¡¢使用弱口令登录后台修改网站SEO信息为博彩信息
2¡¢服务器使用SNAT技术导致源IP为同一IP£¬无法溯源分析黑客IP
3¡¢部分日志被黑客清除£¬建议后期增加第三方日志审计平台
4¡¢通过弱口令登录管理后台£¬仅增加博彩信息¡¢未上传Webshell
二¡¢入侵分析
2.1入侵现象
2018年12月06日£¬我司“云悉”互联网安全监测平台监测到该用户Web服务器被植入博彩内容£¬具体如下£º

初步判断结果如下£º
网站被入侵£¬植入博彩信息£¬属于黑帽SEO手法£¬我司“捕影”应急响应小组立即协助用户进行入侵分析¡£
2.2系统分析
2.2.1 账号及用户组分析
对系统账号进行分析£¬目前发现系统存在以下账号£º
Administraotrxc2018¡¢guest234用户£¬guest234用户被禁用£¬其中管理员组用户为adminnistratorxc2018,未发现异常¡£

对系统隐藏用户和克隆用户进行分析£º未发现隐藏账号和克隆账号后门¡£


2.2.2 进程及资源分析

未发现系统高资源进程£¬可初步判断未植入挖矿程序¡£
2.2.3 开放端口分析
序号
端口
对应服务
?#24471;?
1
80
http
IISWeb应用服务
2
135
RPC
病毒与系统漏洞经常利用该端口£¬建议关闭
3
139
Samba
病毒与系统漏洞经常利用该端口£¬建议关闭
4
445
CIFS
病毒与系统漏洞经常利用该端口£¬建议关闭
5
1434
Sqlserver
Sqlserver数据库
6
2198
MXagent.exe
MXagent
7
2383
Msmdsrv.exe
Microsoft SQL Server Analysis Services
8
2525
Tina_daemon
Tina daemon
9
3389
Mstsc.exe
Windows远程桌面服务
10
5555
G01
政府网防G01系统
11
5939
teamviwer
Teamviwer
12
10000
YundetectService
百度云管家£¬建议关闭
13
37777
Igdagent.exe
管理系统
14
49152
Wninit.exe
Windows启动应用程序
15
49153 19154 49156
svchost
Windows服务主进程
16
49155
lsass.exe
Local Security Authority Process
17
49166
Services.exe
服务和控制器应用程序
 
 
 
 

建议关闭135¡¢139¡¢445¡¢10000等端口£¬其他端口需要根据业务需求来决定是否关闭¡£
2.2.3 其他分析
对该服务器的连接¡¢安装软件¡¢关键配置文件¡¢启动项分析£¬目前未发现异常¡£
2.2.4 系统分析小结
主机系统未发现明显异常£¬建议关闭不必要的危险端口
三¡¢WEB应用分析
3.1 博彩页面分析
3.1.1 常见植入博彩方法与原理
通过内容分析£¬发现此次黑客为SEO性?#23454;Ä¡?#20854;主要目的在于通过黑帽SEO获取经济利益£¬一般情况下£¬黑客植入博彩内容有以下途径£º
1¡¢前端劫持
前端劫持一般都是在网站的相应页面中插入JS脚本£¬通过JS来进行跳转劫持¡£也有发现黑客直接修改相应的页面内容的¡£
2¡¢服务器端劫持
服务器端劫持也称为后端劫持£¬其是通过修改网站动态语言文件,如global.asax¡¢global.asa¡¢conn.asp¡¢conn.php这种文件¡£这些文件是动态脚本每次加载时都会加载的配置文件£¬如访问x.php?#34987;?#21152;载conn.php¡£这样的话£¬只需要修改这些全局的动态脚本文件(如global.asax)£¬访问所有的aspx文件时都会加载这个global.asax文件£¬可?#28304;?#21040;全局劫持的效果¡£
针对以上两种劫持技术£¬可以直接查看飞鸟前期的技术分析£ºhttp://www.rliwo.live/Article/html/3/8/2019/93519.htm

3¡¢DNS劫持
DNS劫持又称域名劫持£¬入侵者通过社工或弱口令或其他手?#25991;?#21040;被入侵者域名服务商的相关权限£¬修改DNS指向£¬将正常域名解析至博彩网站或色情网站¡£?#25913;?#32773;可加JS代码判断访?#25910;?#26159;否为百度谷歌等机器人爬虫£¬若为爬虫则跳转至博彩页面£¬正常访问则跳转至正常页面¡£这种方式在被入侵者服务器中无任何入侵迹象£¬隐蔽性高£¬陷入思维误区时难以被发现¡£
3.1.2 博彩分析
(1)前端劫持分析

[1] [2]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此?#26576;?#20110;传递更多信息之目?#27169;?#24182;不代表本站赞同其观点?#25237;云?#30495;实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中