手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

记一次入侵应急响应分析

来源:本站整理 作者:佚名 时间:2019-04-03 TAG: 我要投稿

一、情况简介
1.1发现存在入侵
2018年12月06日,我司“云悉”互联网安全监测平台监测到某政府单位网站存在被植入恶意链接。我司“捕影”应急响应小组进行分析后确认为真实入侵事件后,立即进入应急响应。
1.2应急处理分析结果
经过分析,判断此次事件为黑客恶意攻击所致,通过日志分析等,目前得到以下结论:
1、使用弱口令登录后台修改网站SEO信息为博彩信息
2、服务器使用SNAT技术导致源IP为同一IP,无法溯源分析黑客IP
3、部分日志被黑客清除,建议后期增加第三方日志审计平台
4、通过弱口令登录管理后台,仅增加博彩信息、未上传Webshell
二、入侵分析
2.1入侵现象
2018年12月06日,我司“云悉”互联网安全监测平台监测到该用户Web服务器被植入博彩内容,具体如下:

初步判断结果如下:
网站被入侵,植入博彩信息,属于黑帽SEO手法,我司“捕影”应急响应小组立即协助用户进行入侵分析。
2.2系统分析
2.2.1 账号及用户组分析
对系统账号进行分析,目前发现系统存在以下账号:
Administraotrxc2018、guest234用户,guest234用户被禁用,其中管理员组用户为adminnistratorxc2018,未发现异常。

对系统隐藏用户和克隆用户进行分析:未发现隐藏账号和克隆账号后门。


2.2.2 进程及资源分析

未发现系统高资源进程,可初步判断未植入挖矿程序。
2.2.3 开放端口分析
序号
端口
对应服务
?#24471;?
1
80
http
IISWeb应用服务
2
135
RPC
病毒与系统漏洞经常利用该端口,建议关闭
3
139
Samba
病毒与系统漏洞经常利用该端口,建议关闭
4
445
CIFS
病毒与系统漏洞经常利用该端口,建议关闭
5
1434
Sqlserver
Sqlserver数据库
6
2198
MXagent.exe
MXagent
7
2383
Msmdsrv.exe
Microsoft SQL Server Analysis Services
8
2525
Tina_daemon
Tina daemon
9
3389
Mstsc.exe
Windows远程桌面服务
10
5555
G01
政府网防G01系统
11
5939
teamviwer
Teamviwer
12
10000
YundetectService
百度云管家,建议关闭
13
37777
Igdagent.exe
管理系统
14
49152
Wninit.exe
Windows启动应用程序
15
49153 19154 49156
svchost
Windows服务主进程
16
49155
lsass.exe
Local Security Authority Process
17
49166
Services.exe
服务和控制器应用程序
 
 
 
 

建议关闭135、139、445、10000等端口,其他端口需要根据业务需求来决定是否关闭。
2.2.3 其他分析
对该服务器的连接、安装软件、关键配置文件、启动项分析,目前未发现异常。
2.2.4 系统分析小结
主机系统未发现明显异常,建议关闭不必要的危险端口
三、WEB应用分析
3.1 博彩页面分析
3.1.1 常见植入博彩方法与原理
通过内容分析,发现此次黑客为SEO性?#23454;摹?#20854;主要目的在于通过黑帽SEO获取经济利益,一般情况下,黑客植入博彩内容有以下途径:
1、前端劫持
前端劫持一般都是在网站的相应页面中插入JS脚本,通过JS来进行跳转劫持。也有发现黑客直接修改相应的页面内容的。
2、服务器端劫持
服务器端劫持也称为后端劫持,其是通过修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都会加载的配置文件,如访问x.php?#34987;?#21152;载conn.php。这样的话,只需要修改这些全局的动态脚本文件(如global.asax),访问所有的aspx文件时都会加载这个global.asax文件,可?#28304;?#21040;全局劫持的效果。
针对以上两种劫持技术,可以直接查看飞鸟前期的技术分析:http://www.rliwo.live/Article/html/3/8/2019/93519.htm

3、DNS劫持
DNS劫持又称域名劫持,入侵者通过社工或弱口令或其他手?#25991;?#21040;被入侵者域名服务商的相关权限,修改DNS指向,将正常域名解析至博彩网站或色情网站。?#25913;?#32773;可加JS代码判断访?#25910;?#26159;否为百度谷歌等机器人爬虫,若为爬虫则跳转至博彩页面,正常访问则跳转至正常页面。这种方式在被入侵者服务器中无任何入侵迹象,隐蔽性高,陷入思维误区时难以被发现。
3.1.2 博彩分析
(1)前端劫持分析

[1] [2]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此?#26576;?#20110;传递更多信息之目?#27169;?#24182;不代表本站赞同其观点?#25237;云?#30495;实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        森林狼vs勇士 能兑现的开元棋牌 如何打好四川成都麻将 对决沙龙游戏 xrp瑞波币走势图 十一选五走势图黑龙江 守财奴卡波尔 伟大魔术师送彩金 体彩排列三开奖结果 体彩试机号今日金码