通过数据包分析 攻击者是否入侵了服务器

         下面是一些请求的数据包。好,再往后我们依然还是通过我们的监测设备上面去发现,在5月19号7:15:40的时候,攻击者使用root账号,成功的登录了其他服务器的数据库,这依然是一个什么?这是一个内对内的一个攻击。然后在这一个流量告警图上面,我放大一下,在这一个流量告警图上面,我们可以看到所有的攻击者都是1.50这个人,然后对谁发起攻击?分别对11.1发起了这个 My circle登陆的攻击,这是一个敏感的行为,并不能说是直接攻击,是个敏感的行为。

那么登录的这个敏感的行为,如果在我们实际工作的过程当中,如果是发现这种行为的话,我们第一时间是需要上报给客户的,尤其是在攻防演练的时间里面,一定要第一时间上报给客户,我们要去对客户进行询问。在7:16:15,这个时间段是否有我们的相关运维人员,或者说是有是否有我们的相关的其他人员,对10.182.11.1这一台买SQL服务器进行了登录,并且是用root的这个账号进行成功登录的。如果是有的话,那这边就是个误报,如果没有的话,我们要去考虑,那么是不是有可能已经被什么?已经被工具的控制了,但是我们还没有及时的察觉到,这个时候我们就要立刻去安排人进行上机排查,定位。

如果说在可以不影响到客户的业务的正常业务的情况下的话,我们是需要对这一台电脑,也就是1.50这台电脑进行隔离的。隔离的方式有特别多,那最直接简单粗暴的,就是把网线都拔了。攻击者就没办法了。好了,再随后1.50这个家伙,他还是发起这个内对内的攻击,我们1.50这一个他对多个内网服务器发起了SQL server的一个提权攻击,那么多个被提权的内网服务器有10.79.76.94以及10.79.56.130,那在这个上面我们都是可以看得到的。

这个不太清我给你放大,在这一个设备的构体上面,我们可以明显的去看到这是一个高危的行为,并且还是攻击成功了,看到没有?这些都是用红字直接给你标得很清楚了,我们的设备都是非常的智能化的,换句话来说简单的学习一下就可以使用了。那么10.10.1.50,对76.94,对56094连接了这个 Sql server,也就是我们所谓的MS circle,并且执行了XP的一个命令。那么XPshell对于我们来说它是一个提权的攻击,也就是可以把一个普通的用户提升到一个更高的权限,管理员的用户。下面就是它的相关数据,那这个攻击是比较敏感的,而且还成功了。那么基本上是完全可以去断定1.50是绝对沦陷了。

分享: