记录某项目中一次较为顺利的溯源反制过程

文章预览

原文链接：奇安信攻防社区 https://forum.butian.net/share/2982 从发现攻击IP到反制拿到system权限，再到分析 傀儡机 上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。 时间 202X年7月19日下午，刚睡醒就发现上午好像漏了一条攻击告警（简陋的图，体谅一下），还好为时不晚，先上报再溯源反制一下。 起因 此番攻击时间上相对连续，可以初步判断为扫描器，然后受害ip数量较多，猜测可能是一次针对性的攻击，攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。 反制 威胁情报平台上跑一下发现并未被标记恶意IP： 无所谓，礼尚往来，你扫我我扫你，上dirsearch！很快就发现了突破口： 是的，朴实无华的 phpmyadmin ，朴实无华的弱口令，朴实无华的拿shell。初步判断，该机器为傀儡机，攻击者通过phpmyadmin日志写入shell拿下 ………………………………