干货 | 内网入侵溯源实战案例

1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门，这攻击队不讲武德呀，还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿，尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2、上机排查1、上机将CS木马下载下来，丢到云沙箱中运行，发现外联IP2、根据态感的告警时间排查日志，发现文件上传3、上机排查木马文件，找了好久没找到木马文件，一个个打开文件查看，终于找到了木马，哥斯拉的jsp木马可以看到攻击者以及将木马文件修改了名称与时间，企图伪装在正常文件中排查发现反弹shell，IP与CS外联地址一致攻击者还下载了fscan扫描器，进行了扫描，IP与CS外联地址一致fscan扫描结果1.3、溯源1、根据IP查询到域名2、直接访问域名，发现为个人博客博客的文章没有什么发现，但是在查看友链时发现了几位眼熟的ID通过其中一个 ………………………………