黑客攻防与入侵检测案例分析(列举常见的黑客攻击案例)

黑客攻防与入侵检测案例分析(列举常见的黑客攻击案例)

编程入门hacker2024-07-02 7:20:26994A+A-

  

  目前网络攻击种类越来越多,黑客的攻击手段也变得层出不穷,常规的防护手段通常是对特征进行识别,一旦黑客进行绕过等操作,安全设备很难发现及防御。通过科来网络回溯分析系统可以全景还原各类异常网络行为,记录所有攻击操作,对攻击行为进行深入分析,确保分析的准确性,更有力的保障网络安全。

  问题描述

  用户接到漏洞平台反馈,某白帽子在近日上报用户服务器xx.xx.10.122存在漏洞,可以GETSHELL,获取服务器权限。接到通知后,对问题服务器进行深入分析。

  分析过程

  

  如上图,可以看到在漏洞上报时段前,120.195.55.56频繁连接问题服务器的8080端口,产生了14.34MB的数据通讯。

  

  此IP与问题服务器的第一个会话连接发生在16:30分左右,可以看到120.195.55.56在对服务器进行WebLogic T3协议的请求,后续进行了Java反序列化漏洞检测(WebLogic)。

  

  攻击者成功利用此漏洞,连接到服务器内部,列出服务器内部目录,如上图。

  

  并且通过漏洞向服务器部署名为1.jspx的WebShell文件,密码为为“gogogo”。

  

  再次列目录时,此WebShell已经存在服务器内部。

  

  攻击者使用密码“gogogo”成功登陆WebShell,成功获取服务器权限。随后攻击者成功进行列目录、修改文件、连接数据库等操作,如下:

黑客攻防与入侵检测案例分析(列举常见的黑客攻击案例)

  

  

  攻击者连接数据库并成功的查询了数据库内部信息,如下:

  

  

  

  

  攻击者在服务器内部创建并下载了名为pack.zip的压缩文件。

  

黑客攻防与入侵检测案例分析(列举常见的黑客攻击案例)

  

  通过页面还原,可以看到攻击者获取了数据库的表名、内部用户敏感信息等数据,如下图:

  

  

  其他问题

  

  

  在分析的过程中,发现攻击者的IP120.195.55.56在6月22日同时对xx.xx.10.21进行了同样的攻击,部署名为1.jspx的WebShell文件,成功获取了服务器权限。随后在6月24日才进行了数据库的访问。

  对xx.xx.10.21进行深入分析,发现:

  

  

  此服务器在6月3日已经通过同样的方式被成功GETSHELL,上图为攻击者121.69.48.36部署WebShell文件1.jsp,密码同样为“gogogo”。

  

  并且部署了wooyun.jsp的WebShell。此次攻击没有后续的攻击行为,只是对这两个Webshell进行连通性测试。

  问题总结

  攻击者120.195.55.56在6月22日16:30左右对多个服务器进行了JAVA反序列化漏洞的测试,其中服务器xx.xx.10.122的8080端口及168.160.10.21的80端口存在此漏洞,攻击者成功入侵服务器并成功部署了名为1.jspx的Webshell,成功获取服务器权限,成功的进行了数据库查询、下载pack.zip等操作。

  经过对服务器的深入分析,发现服务器xx.xx.10.21早在6月3日已经被攻击者121.69.48.36利用相同的方式成功入侵并部署了名为1.jsp和wooyun.jsp的WebShell文件,成功获取权限,但并未进行数据库查询等操作。

  网络分析价值

  网络分析技术可以保存最原始的数据包进行攻击检测,快速从大量数据中定位攻击源,掌握攻击者的每一个攻击动作,评估攻击的危害型。帮助用户更好的防御各类网络攻击。

  延伸阅读

  案例| 回溯分析提取关键业务数据中断

  案例|有人利用DDOS攻击威胁 问我要10万美金

  案例|从一次流量异常中发现主机被植入后门程序

  

  欢迎大家订阅“网络安全员”头条号, 更多优秀网络问题分析案例,不定时更新!

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 鸢旧惑心2024-07-02 16:48:31
  • 问题描述  用户接到漏洞平台反馈,某白帽子在近日上报用户服务器xx.xx.10.122存在漏洞,可以GETSHELL,获取服务器权限。接到通知后,对问题服务器进行深入分析。   分析过程    如上图,可以看到在漏洞上报时段前,120.195.55.56频繁连接问题服务器的8080端口,产
  • 笙沉謓念2024-07-02 09:21:16
  •   此服务器在6月3日已经通过同样的方式被成功GETSHELL,上图为攻击者121.69.48.36部署WebShell文件1.jsp,密码同样为“gogogo”。     并
  • 绿邪好怪2024-07-02 16:18:03
  • |从一次流量异常中发现主机被植入后门程序     欢迎大家订阅“网络安全员”头条号, 更多优秀网络问题分析案例,不定时更新!

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理