鄙人多次处理过各种被黑找幕后黑手事件。。。
如某领导早匿名邮件举报,干掉163拿到邮箱找发件人,,,某学生无聊干了当地教育局配合抓人,,,等等。。。
这还是第一次逆向DDOS事件。。。
某日一友人求助说维护的客户网站遭受SYN,毕竟政府用户有防火墙和IPS,告诉他设置防护就好了。。
第二日。。友人又来,说设置了没用。。。
给了我远程查看配置,发现某防火墙居然功能模块还有到期事件,正好所有模块到期,这防火墙就等于一台路由器了。。。
无奈只得导出日志分析IP手工添加ACL。。。
下面切入正题:
IP导出后,朋友自己加ACL,同时提到去年同一时间也有同样攻击。我怀疑攻击者目的,为什么防火墙功能模块刚到期就发起攻击?
怀着好奇心。。对导出的攻击IP进行扫描
其实如果是国内黑产,不过是1433、3389、3306等常见抓鸡。。ISP封了135 445 等端口SMB服务的利用可能性不大。
果真在记录IP中发现一台3306弱口令
然后大家就应该知道了。。。UDF.dll提权即可。。
由于时间已是凌晨2点,直接命令mysql连接,查了些信息
可以看出一些IP。。
其中某IP
域名对应???
邮箱对应???
收款地址???
淘宝走你???
还用多少几句吗??
蒋华同学请小心了。。。
可惜没有下载病毒样本与其他进一步证据保留。。。否则大家都懂。。。