记录某项目中一次较为顺利的溯源反制过程

文章作者：奇安信攻防社区（11123）文章来源：https://forum.butian.net/share/2982从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。1►时间202X年7月19日下午，刚睡醒就发现上午好像漏了一条攻击告警（简陋的图，体谅一下），还好为时不晚，先上报再溯源反制一下。2►起因此番攻击时间上相对连续，可以初步判断为扫描器，然后受害ip数量较多，猜测可能是一次针对性的攻击，攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。3►反制威胁情报平台上跑一下发现并未被标记恶意IP：无所谓，礼尚往来，你扫我我扫你，上dirsearch！很快就发现了突破口：是的，朴实无华的phpmyadmin，朴实无华的弱口令，朴实无华的拿shell。初步判断，该机器为傀儡机，攻击者通过phpmyadmin ………………………………