排查域控网站服务器被攻击的思路

           那么接下来,我们就对11.50这一台PC电脑去进行排查。我们可以看到在这一个设备的告警上面,已经是攻击成功的一个状态了。那是发起了一个什么样的攻击?在攻击的详细信息里面,我们会看到尝试与功能的ftp服务器进行连接,也就是我们内网的这台电脑,他主动的去向外去发起访问,去对外去开始去找一遍人去沟通去了,他在正常的情况下,他是不会主动的走出内网的。

所以所以我们就可以判断,在5月19号4:09的时候,受害者10.10.1.50这一台电脑也是被攻击者控制了,并且开始反向连接,攻击者也就是主动的从内网走到外网去和89.12345这一个端口的攻击者去进行通话。随后我们还在这一台 PC机上,也就是1.50这一台主机上面,6点零三分的时候,我们发现攻击者使用了wmii exec这一个命令执行工具执行了攻击,而且是一个内对内的一个攻击。

我们在这个安全设备告警上面可以看到,攻击者是内网,受害者也是内网。那么是谁发起的攻击?是1.50发起的攻击。是不是现在我们大概有思路,为什么1.50会发起攻击?因为在4:09的时候,他主动出去找攻击者了,攻击者又通过对它的一个控制,在6:03的时候控制它,去打了他自己的内网里面的其他主机,就是以所谓的横向攻击,而且是一个什么样状态,是攻击成功的一个状态。

再往后在1.50这台主机上面,我们还检测到了就是还监测到了其他的设备告警信息,那么也就是5月19号的时候,7:06:50,我们的10.50这位同志,他又被攻击者指使使用web逻辑这一个漏洞,执行了远程命令攻击,这依然还是一个什么?依然还是一个内对内的一个攻击。攻击者是谁?攻击者就是1.50现在这一台机子也是被工具的控制了,然后对我们的10.9.0.17这个WebLogic服务器进行了一个打击,然后状态是什么,状态也是个攻击成功的。

分享: