对网站攻击路径的详细排查和取证过程记录

       我们排查登录日志,我们在5月19号3点37分的时候,我们发现10.0.10.2,也就是 pass的希的攻击方式,成功登录了,谁?登录了1.50,又有另外一个对象来登录他了,用另外一个动向,等等说明这个是谁?也被控制了,那么接下来是不是也要对它进行一个上机排查?所以说我们上期排查和要排查东西对象还是蛮多的。

好的,那么在这一个日志里面,我们看到什么?这个是谁登的?这是什么?登录类型是什么?三是网络登录,怎么个网络登录法?是别人通过网络的方式来登录到你这里,所以会记录下来信息。那么也就是10.0.10.2是攻击者。对我们的10.50发起了内对内的一个攻击,通过PPI的方式进行一个成功登录。好,那么以上信息就是我们通过对什么?通过对设备的告警以及相关的排查思路和需求,我们对它进行了一系列检查和判断以后,得到了以上的11条的一个取证记录。

那么现在我们对现阶段的一个攻击路径进行还原。从这个设备上就是从我们的这一个完整的应急响应流程图上面,我们是可以看得到的,首先是在这里预控2来到10.50是不是?来到10.50以后,又接下来什么?然后4:53,然后又通过 approaching的方式分析了9.0.1,最后在7:15的时候,又通过这个方式Xpcmd shell提权的方式,又对这两个兄弟内部的家庭成员又发起了内对内的攻击。

好,这个就是我们对10.10.1.50的一个详细排查和取证的一个过程,那么往后他攻下了其他人对不对?那么我们肯定是吧,你看这个是不是要排查风险对象?这个时候排查分析对象,既然攻击了,那么它就有可能只是感染或者说是完全感染,就是已经我取得了完全控制的一个权限。那么我们接下来对这一些进行一个详细的分析和排查。好,那么接下来我们就来到了13.10的这台机子上,进行详细的分析和排查。

分享: