域名反查网_记两次内网入侵溯源

原来的：

目前大图推送仅针对常读、加星的公众号显示。建议大家“把潇湘新安定为明星”，不然可能看不到！

案例一

1.1.入侵报警

1、某天深夜，主机防护突然曝出CS木马后门。这支攻击队毫无武德。幸运的是，他们并没有睡着。

2、赶紧叫醒旁边正在看交通设备的小伙伴，尝试Shiro逆序漏洞攻击成功。

3、测试目标网站存在Shiro反序列化漏洞。

1.2.船上检查

1、上电脑下载CS木马，扔到云端沙箱中运行，找到外部IP

2、根据状态感知的报警时间查看日志，发现文件已上传。

3、检查电脑上的木马文件。找了半天也没找到木马文件。我把这些文件一一打开看了看。终于找到木马了，哥斯拉的jsp木马。

可以看到攻击者修改了木马文件的名称和时间，试图将其伪装成普通文件。

经排查发现，反弹shell及IP地址与CS外链地址一致。

攻击者还下载了fscan扫描仪并进行扫描。 IP与CS外部地址一致。

fscan 扫描结果

1.3.可追溯性

1.根据IP查询域名

2.直接访问域名，发现是个人博客

我在博客文章中没有找到任何东西，但在查看好友链接时却发现了几个熟悉的ID。

我通过其中一个昵称找到了他的CSDN账号，通过CSDN的密码找回功能找到了他的手机号码。我在脉脉上搜了一下，发现他是某厂的渗透测试工程师。我通过另一个昵称询问熟人，发现他也是某工厂的员工。我们溯源的目标很有可能是公司的某个人。

3、随后通过搜索域名找到了个人博客备份仓库。

通过接口查询仓库同步码的邮箱地址

{ repository(name: "name",owner: "test1278"){  ref(qualifiedName: "master"){  target{  ... on Commit {  id  history(first: 5) {
  edges {  node {  author {  name  email  }  }  }  }  }  }  }}}

查询攻击者QQ号

通过API接口查询QQ号码绑定的手机号码

4.通过手机号码添加钉钉好友，并查找姓名。我想通过支付宝转账猜姓氏，但目标已经关闭了支付宝搜索。

我们只能发动群众在微信中搜索微信昵称，最后发现攻击者确实是某客户群中某厂的工程师。

XX厂商XXX邀请攻击者加入群聊

1.4.概括

案例2

2.1.调查

1、在某次攻防演练中，毕某到客户现场进行内网入侵排查及溯源工作。到达现场后，笔者惊讶地发现客户唯一的安全设备就是防火墙。这种情况下，就只能依靠这个防火墙来深入排查了。

在与客户初步沟通后，他们指出了几台可能存在问题的服务器。登录这些服务器后发现所有服务都在运行。于是，笔者决定从日志文件中寻找线索。

2、经过长时间细致排查，发现从凌晨0点39分开始出现大量异常扫描行为

凌晨0点40分发现命令执行漏洞被成功利用。

凌晨2点02分在另一台服务器上发现Wanhu.jsp任意文件上传漏洞被成功执行。

3、日志中显示的XXX.XX.1.142是F5转换后的地址，防火墙上的真实攻击IP是XXX.XXX.X.91。

但在威胁情报平台上并未发现有效信息。

4. 在受害主机上发现FRP和fscan。 FRP远程控制服务器地址为XXX.XXX.72.91。

域名反向搜索发现了一个疑似域名所有者姓名的域名，但通过搜索该域名并没有找到更多信息。

5、问题还没有结束，在另一台受害主机上找到了更多信息。 KSA.dat（看学安全访问）是一款傻瓜式一键访问私有网络的工具。

KSA.log中发现更多攻击者服务器地址，包括XXX.XX.XXX.87

2.2.可追溯性

1、对XXX.XX.XXX.87进行域名反向核查，发现有备案人姓名（不，确实有人实名上网）

2、域名解析IP为XXX.XX.XXX.87，证明为攻击者所有。

通过搜索引擎搜索并证明自己是一名安全从业者

网站端口80为nps提供服务

3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx，与备案人姓氏相同。

4.搜索xxx，找到其csdn账号

利用CSDN的密码找回功能破解手机号码

成功发现手机号码181****0865

并且还在gitee中找到了手机号码：181****0865、QQ等信息。

5、使用百度云盘的账号找回功能，输入服务器IPXXX.XX.XXX.87。可以看到该手机号码后四位与CSDN手机号码后四位相同，可以确定属于同一个人。使用181****0865进行支付宝转账认证，也可以确认是同一人的。

2.3.概括

此次应急响应的难点在于客户没有防火墙以外的安全设备。找到切入点需要花费很多时间。我只能一一阅读日志文件。找到入口点后，我锁定受害主机并寻找入侵痕迹。从反代软件日志中找到外部服务器IP，从IP数字证书中找到用户常用的昵称，通过搜索找到CSDN账号，通过爆破获得手机号码，域名filer锁定了真实姓名，经反向验证为同一人。可惜没有找到明确的单位。

黑与白发表、转载的文章所涉及的技术、想法和工具仅用于出于安全目的的学习和交流。任何人不得将其用于非法目的或营利目的，否则后果自负！

如有侵权请私信，我们将删除文章。

结尾