渗透测试

  • Web基础

    • 高危安全事件
      • 感染病毒
      • 被远控
    • 中危安全事件
      • 访问恶意域名
      • SQL注入
      • 一句话木马攻击
      • 上传漏洞攻击
      • 文件包含攻击
      • 扫描攻击
  • 实列:

    • 木马远控“挖矿”
      1. DNS解析连接上线

        设备通过恶意域名qinfeng.f3322.net获取C&C服务器地址103.239.74.45(地理位置:中国香港)。

        Source [8.8.8.8] 118.122.113.*

        Standard query response 0xb71d A qinfeng.f3322.net A 103.239.74.45

        连接C&C服务器TCP25000端口上线,并回传系统信息(包含系统类型以及内核版本:Linux 2.6.32-71.el6.x86_64.1:G2.40)。

        C&C服务器下发远程执行命令。

      2. 下载挖矿木马

        该设备连接另一主机(IP: 123.249.3.**,地理位置:贵州**),并下载挖矿木马yam2。

        http://123.249.3.71:17890/yam2(下载地址)

      3. 执行挖矿程序

        该设备存在大量门罗币(Monero)挖矿程序通信数据,矿池地址:222.187.221.227:5555(地理位置:江苏宿迁)。

      4. 金额查询

        矿池 http://minexmr.com/比特儿交易平台 https://bter.com/trade/xmr_cny

        360分析报告 http://www.freebuf.com/articles/system/129459.htm

  • 中危安全事件

    • 访问恶意域名
      • 事件详情 [主机因访问恶意网站存在安全隐患,在访问如垃圾邮件、匿名服务等恶意域名。涉及IP地址、地理位置及主机类型]
      • 事件危害 [可能因下载恶意软件导致主机感染病毒]
      • 处置措施 [策略:在网络出口边界通过访问控制措施禁止连接恶意地址和域名]
    • SQL注入
      • 事件详情 [涉及主机 (IP:)上述IP地址尝试对政府服务器发起攻击,尝试是否存在SQL注入漏洞]
      • 事件危害 [有意图地对政府数据库系统发起攻击]
      • 处置措施 [策略:在网络出口边界通过访问控制措施禁止该攻击IP访问电子政务外网或加固数据库系统]
    • 上传漏洞攻击
      • 事件详情 [多个IP对下列13台服务器发起上传漏洞攻击]
      • 事件危害 [以上IP对多台服务器发起上传漏洞攻击,尝试是否存在上传漏洞]
      • 处置措施 [在网络出口边界通过访问控制措施禁止该攻击IP访问电子政务外网]
    • 文件包含攻击
      • 尝试是否存在上传漏洞
    • 扫描攻击
      • 事件详情 [大量的外网地址对政府多台服务器进行扫描攻击,扫描软件,对多台政府服务器进行RDP、XSS、上传漏洞、文件包含、连接木马后门等攻击扫描]
      • 事件危害 [寻找服务器漏洞,有意图的进行攻击,存在安全隐患]
      • 处置措施 [在边界访问出口防火墙上设置包过滤等]
Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

You are commenting using your WordPress.com account. Log Out /  更改 )

Google+ photo

You are commenting using your Google+ account. Log Out /  更改 )

Twitter picture

You are commenting using your Twitter account. Log Out /  更改 )

Facebook photo

You are commenting using your Facebook account. Log Out /  更改 )

Connecting to %s