实战 | 项目中较为顺利的溯源反制过程

文章预览

由于微信公众号推送机制改变了，快来 星标 不再迷路，谢谢大家！ 从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。 主打一个分享思路和技巧。 时间 202X年7月19日下午，刚睡醒就发现上午好像漏了一条攻击告警（简陋的图，体谅一下），还好为时不晚，先上报再溯源反制一下。 起因 此番攻击时间上相对连续，可以初步判断为扫描器，然后受害ip数量较多，猜测可能是一次针对性的攻击，攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。 反制 威胁情报平台上跑一下发现并未被标记恶意IP： 无所谓，礼尚往来，你扫我我扫你，上dirsearch！很快就发现了突破口： 是的，朴实无华的phpmyadmin，朴实无华的弱口令，朴实无华的拿shell。初步判断，该机器为傀儡机，攻击者通过phpmyadmin日志写 ………………………………