检查服务器被暴力破解的过程分享

       同时他还要去查看这一台主机是什么时候启动的,然后这台机子,有没有被重启过等等,如果没有被重启过,我们在这里看安装时间,这个启动时间是这一个,安装曾经是这个启动时间,这个那么如果说当前的这一个受害者。他不是频繁的去启动,或者说不是最近才启动的话,那么就可以从侧面的去证明,我们的客户对这一台服务器并不是特别的重视,那么我们的攻击者就可以去登录到这一台 OA,可以再去执行更多的操作。

好,再往下,我们就定位到了一个内对内的攻击,在5月20号,5月20号的时候凌晨1:32:44的时候,攻击者对该主机进行了暴力破解,在2:06的时候登录了该主机,攻击者是谁?攻击者是188,是不是?他之前是不是攻击过?攻击过,原来就是它爆破了,说白了什么?我们在0.188这一台主机上面查到的那些恶意文件当中,有一个就是专门爆破的,对不对?

来,我们再回去看一眼。是不是有可能就是这一个,那么4625这个事件ID是代表登录失败,登录失败,什么时候会登陆失败,只有开始登录的时候,才会存在登录失败,对不对?那么假设如果我们是用自己的这个账号密码,但是我们用了个错误的账号,错误的密码去登录的时候,他会干什么?他就会登陆失败。

那么登录失败的最早的那个时间,就是攻击者开始暴力破解的时间。而4624是登陆成功。那么时间就是攻击者成功登录的时间,成功暴力破解的时间。所以我们在这个事件日志里面,我们是看到攻击者0.18,在最早的时间是谁?1:32秒的时候,一直是包括了4254,这个时候都是审核失败,都是审核失败,说明在干什么?说明它爆破。

好,既然有可疑程序,有可疑程序就需要去执行,去执行我们就去排查。5月20日,对不对?5月20日因为它有个落地时间,它是有个落地时间的对不对?我们就去排查5月20日的一个程序执行的一个日志,我们就定位到了样本启动的时间是5月20日2:06,那么怎么去查看,我们去查看事件查看器的时候,我们去查看系统日志,事件ID号是7045的时候去查看到的。5月20日,只要是样本落地之前,或者是暴力破解成功之前,他一定要先暴力破解,成功了之后他才可以进来,对不对?所以说我们只需要去查看,从他暴力破解开始的那个时间,一直往往后推,往后推,我们就可以去查看到他执行了哪些程序。那么我们去查看700,45的时候就定位到了在2:06:21的时候,就定位到了攻击者,同样创建了一个名为bot的一个服务。

分享: