現在時間:2021年12:23,剛溯源回來,準備記錄一下,不知道今天能不能寫完,依舊盯著流量分析平臺和EDR服務器監控,一切正常,
近來著實明白了什么叫做身心疲憊,但是干這么一份作業,既然是我牽頭,那就是要負責到底,
大家伙正在午休,不知道我敲擊鍵盤的聲音會不會吵到他們,
上次記錄是4.11號,各種瑣事繁多,沒時間(也是因為懶)寫博客,期間也出現過各種漏洞,宇信科技某個組件、易誠互動EMP、藍凌xmldecode、welogic T3協議等
我們第一個要做的就是排查,有沒有使用這些公司的設備,大部分都是沒有的,
昨天下午臨近下班發現了第三方的頻繁攻擊行為:
1.SQL試探性盲注,常見的手法,groupconcat、union select...
2.一句話木馬,非常明顯,但是不看流量包的話是永遠不會知道的,system執行
3.Authoritation認證界面爆破base64解碼是admin:admin,一種極為簡單的認證爆破,箭頭的地方是一個手機號,我查了一下是甘肅的一個手機號,
社工了一波,是個年齡比較大的中年人,也發現了一些細節性的東西,這里不方便說,和這次攻擊沒關系,自行想象,社工挺無聊的,
還有很多型別的攻擊,我當時還納悶了,連最基本的掃描都沒做,直接上來就是個干,而且每個攻擊只有1次嘗試,總計十幾次的樣子,流量截取了一部分,
進行了簡單的分析和溯源,對照了一下地址對應表,很快就定位了這是哪的第三方,
源地址是一個局域網地址:192.168.10.111,肯定有這么一個主機,承擔的是攻擊者的角色,
dst_ip是我方對外服務地址,流量的src_ip是對方服務器地址,
因為服務器是雙網卡,比如對方的網段是172開頭,而我方對外地址是152開頭,所以服務器兩張網卡會有兩個個IP,
這個時候網路知識的重要性就顯示出來了,果然,干安全啥都得懂一丟丟:code network tools thinkings......
所以在抓的流量包中會有三個IP,我當時的猜想是:192的攻擊機通過對方服務器作為跳板,對我方進行攻擊,也就是對方的可能被拿下了,于是昨天下午經過一系列業務評估之后,我將第三方至我方的網封閉了,
我們分部層面能做的就是排查和上報,如果真的發現了攻擊那就封網,
因為體量的問題,所以本著不能讓一個老鼠壞了一鍋粥的心態,每個單位、公司企業都不一樣,各有各的原因吧,我其實是比較討厭整段整段的封網,毫無技術含量而且手法粗俗,
但是對于只有一只藍狗的防守方,我是不能去改什么后臺代碼啊什么的,比如現在有sql注入漏洞,我是知道sql注入的原理,
并且知道幾種常見的防御手法:預編譯、加WAF、正則運算式進行敏感欄位過濾,但是如果攻擊真的發生了,能直接讓你改后臺代碼嗎?掛WAF來得及?預編譯代碼能馬上寫出來?(也是太菜)
在實際的攻防中,探測和排查攻擊占據了半壁江山,所以一旦發現有頻繁的掃描、嘗試性注入攻擊等現象,會直接拉黑IP,
因為牽扯到業務和社會影響,這種操作不到萬不得已盡量避免,最后我們也是進行了評估,才決定封網的,
今天一早來到單位,稍微收拾一下,提著自己吃飯的家伙就奔向了第三方,負責第三放業務的同事給了第三方技術負責人的電話,我在人家門口連呼3個都沒人接,好!你逼我的!
我就來一次現場社工踩點吧,我提著吃飯的家伙(很明顯就能看出來是computer),第三方是某個醫院,我掃了碼,進去了,醫院一層人很多,我戴著口罩,有莫名的安全感,
一樓一般都是醫院比較重要的地方,收費、藥品、開票什么的,對我來說,這不是關注的重點,重點是各種接網的設備和裸露的網線,一樓轉了一圈,確實發現了很多那種自助的繳費設備,
不過網線不合規,裸露在外面,可隨意拔插,我在觀察一個繳費設備的時候,一個穿個白大褂的醫生問我:你干什么呢?我回了一句:我來做設備安全性檢查(我都不好意思了),然后他也沒多問,
我裝模作樣的蹲下看了看網線,然后起身離開,連續在二樓、三樓轉了一圈,對整個大樓也有了一個認識,幾個出口、消防通道、洗手間、保安、樓梯、電梯等一些基礎的資訊有個大概的掌握
兄弟們,出口很重要,跑的時候絕對有用,別問我怎么知道(我也不想說)
至此,踩點結束,
這個時候,我又call了個電話,依然沒人接,好吧,我親自找到你們機房!
看著保安人員:我萌生了一個大膽的想法,
我走上前去,用地道的本地話問他:我是哪個哪個單位的技術人員,現在需要維修哪個哪個服務器,計算機機房在哪里?
,,,,,,,,
最后知道了機房在五樓,太TM刺激了,
看到了資訊技術中心幾個字,我就知道了來對了地方,這個時候我覺得社工只能走到這步了,得干活了啊,再騷下去趕不上回去的中午飯了,
打了電話還是沒人接,我問負責第三放業務的同事,他又給了我一個電話,這次一打就通了,
是對方的二把手(果然二把手才是干活的)說明來意后,我進了機房,他們對我沒有進行任何排查(提前沒給他說),也沒有登記,我就進去了,這個醫院的機房不是很大,可能也是因為我說出了我們
單位的名字讓他放松了警惕,但是這個不是越過基本排查的理由,可能也是我太敏感了,因為我們部門的機房,別的單位人員來干活,必須登記個人資訊,身份證、作業證復印件留底,
機房挺小的,很容易找到我們的服務器,一共三臺,標簽是個好東西,真的!坐在電腦面前永遠不會得到最直接的感受,
進行了基本的排查,服務器雙網卡,一個是他們本地局域網地址,一個是去往我方的地址,服務器開的埠很多,需要抓流量,抓了一波,果然我找到了192.168.10.111這臺機子,我問他們有沒有局域網主機192開頭的,他說有點熟悉
看了看一個表單,說:哎!是我們的一個漏洞掃描設備!我TM......,,這個漏掃設備網關192.168.10.1,也有去向他們服務器的路由,所以可以直接到達我方設備,把我方設備當成了目標服務器,進行了漏掃,
漏掃的原理就是多種漏洞嘗試性的攻擊,也符合前面發現的現象,
好了,其實心情瞬間放松了,因為不屬于黑客或者RT的攻擊,我就一萬個放心了,我要了資料包,帶回來分析,是天融信的topscanner v3.3.0,去年7月份上的,每天有定時任務,為啥之前沒發現呢,
我讓對方將服務器加入掃描白名單,不然我方設備不斷告警,
其實昨天下午將網路斷了后完全可以不管,等護網結束后重新開通就行,但是這么干的話不符合崗位職責,對不起這份作業,我也沒那么高尚,只是覺得應該這么做,
而且溯源很吸引我,我想明白是怎么回事,我想知道對方是誰?我想把他揪出來!哈哈,還好有驚無險!
這算得上是一種探索的精神吧,也權當一次經歷學習了,下次出現了相同的問題就不會這么迷了,
這次溯源程序不是那么的坎坷,因為去了第三方,有了很實際的經歷,結局略有狗血,不過還好,
文章從白天寫到晚上,實際作業中沒有那么多空閑的時間,還好,今天寫完了,
還有幾天就結束了,再堅持啊同學們!(聽說延期了不知道真偽)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278417.html
標籤:其他