网站被黑的安全应急响应思路

           首先第一个问题,反过来容易理解对不对?就是我们的受害者主动走出去内网,和外面的人聊天,是不是他们进行一个通话之后,攻击者在对我们的受害者进行一个控制,然后再让他去攻击我们的家庭成员,是不是这个是比较容易理解的,但是怎么打进来的,你知道吗?你不知道他怎么可以去控制,他怎么去突然之间就可以控制到1.50这个。对,怎么打进来你不知道对不对?这是不是这个问题?

Ok,第二个问题,2345我们都还是比较好理解的,就是它分别对不同的网段的IP发起了攻击。好没问题,攻击者是怎么知道这个信息的?不同的网段,你自己作为你公司的成员,你能知道有哪些网站吗?不知道,那么攻击者是怎么知道的,为什么可以直接发起攻击?如果没有人提供的话,那么肯定就是做了什么?做了扫描探测的行为,对不对?好,问题2,在2345里面有什么,有这个登录数据库的行为,以及对这个 Sql server数据库进行一个提权的行为。

好,那么数据库的密码肯定是泄露了,那么如果没有人提供的话,是不可能直接登录成功的,对不对?并且我们在至今也没有通过设备的告警却发现他有这个爆破行为,所以说,我们通过以上信息就可以做出一些判断,要么就是信息泄露了,要么就是绝对做了内部的信息收集和探测,或者是扫描,那么也就是说攻击者一定是上传了攻击工具,也就是我们比较专业的叫什么?上传攻击的一些行为,攻击者一定是做了扫描探测的行为,那这两个是可以肯定的。

那么这一些是什么?这些东西是我们通过安全设备得到的一些信息,也就是攻击者利用1.50,或者说是对控制1.50以后,对内部的一些网络做了哪些行为,那么你像他对这些不同的网段或者工具对不对?那么接下来我们都要去对这些不同的网站去进行去查看,因为它既然已经攻击了,那么就有可能会被感染。感染是什么概念?感染就是对他的这个电脑上面上传一些工具,然后进行一些探测行为,或者说尝试进行一些横向攻击行为。这个是感染,什么是彻底感染?就是攻击者对不同网段的这一些主机取得了完全控制的权限。好,那这些都是攻击者的一些横向行为。

那么接下来我们是做应急响应的,是做取证的,那么我们需要做什么?我们需要做这些事情,他上传木马就一定有样本,他做了扫描,就一定有软件,就一定有脚本,就一定有执行命令,对不对?这些都是痕迹,那么也会有相应的样本和痕迹。那么所以接下来,我们就要去根据这个思路去做取证,去做升级排查,这个就是我们之前所说的什么?要根据当前的一个实际情况和实际需求,去做一些相应的操作,而不是说是你一上来你就照着那些操作流程去做的,不是这样子的。接下来,我们就定位攻击工具。

分享: