【好文转载】kkFileView 被攻击溯源

文章预览

kkFileView 被攻击取证@Rabbit https://wiki.shikangsi.com/post/4082/ Rabbit：免备案匿名服务器就不会被社工了？？你在想屁吃！！ 资产收集 举例：https://*.*.com 备案过的还敢攻击，家人们谁懂啊？？ 攻击痕迹 对外请求记录 根据exp，我们得知攻击者C2的IP地址是:192.210.*.* 攻击者信息收集 域名 *.fr.to *.ml IP地址 148.135.*.* 通过IP信息，我们得到了IP地址范围（148.135.0.0 - 148.136.255.255）位于RIPE Network Coordination Centre （RIPE NCC）下。RIPE NCC是负责欧洲、中东和部分中亚地区的互联网资源管理的机构。这些地址已经被分配给RIPE NCC区域的用户。 责任机构：Brander Group Inc. 滥用举报：abuse@ipxo.com 突破口 https://*.*.fr.to/explore/users 很明显攻击者对于Gitea的配置不熟练，没有禁止注册用户功能，也就是说我们可以得到他的邮箱信息。 攻击者画像 属地：中国 用户名：n*o 头像信息： 邮箱 ………………………………