亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

文詳細(xì)闡述了：發(fā)現(xiàn)被黑客攻擊、入侵行為分析、反攻黑客服務(wù)器、成功獲取權(quán)限并完成取證的全部過程。這樣的入侵現(xiàn)在也非常多，特別是針對特定系統(tǒng)的定向（但是“盲掃”）攻擊。

近期，安恒安全研究團(tuán)隊(duì)監(jiān)控到大量利用弱口令對22端口進(jìn)行暴力破解的攻擊。經(jīng)過安全團(tuán)隊(duì)詳細(xì)分析，我們發(fā)現(xiàn)網(wǎng)絡(luò)上大量的ubnt設(shè)備的存在弱口令，并且已經(jīng)被黑客使用自動(dòng)化工具植入了后門。安恒APT網(wǎng)絡(luò)預(yù)警平臺(tái)成功的檢測這次威脅攻擊：

在3月19日，接到某客戶網(wǎng)絡(luò)故障反饋，安恒工程師聯(lián)系客戶后進(jìn)行遠(yuǎn)程應(yīng)急響，在客戶的某臺(tái)設(shè)備發(fā)現(xiàn)了一些可疑的shell進(jìn)程.

分析發(fā)現(xiàn)這些shell腳本主要的功能是通過wget去下載一些可疑文件并運(yùn)行，最后還刪除下載的文件，造成了后期取證的困難性.

我們嘗試打開涉及到的惡意頁面如下：

從上圖我們可以看出：

可疑 ip：222.*.*.62 的“10010”文件 在一天之內(nèi)下載了 9108 次

可疑 ip：180.*.*.241 的“hope9”文件 在 48 分鐘之內(nèi)下載了 396 次

經(jīng)過分析，我們發(fā)現(xiàn)兩個(gè)可疑文件都是MIPS架構(gòu)下的DDOS工具，國外研究人員稱之為“Mr. Black”

主要的功能就是一些常見的GET_Flood、SYN_Flood、UDP_Flood等DDOS攻擊方式.

第二天，我們持續(xù)觀察發(fā)現(xiàn)其中的一臺(tái)惡意文件的下載量由原來的9108次變成了15171次

一天之內(nèi)增長了6千多次下載量引起了我們高度的重視.

我們通過技術(shù)手段對惡意服務(wù)器進(jìn)行了控制，通過遠(yuǎn)程桌面進(jìn)入后我們發(fā)現(xiàn)這臺(tái)主機(jī)的8000端口與其他很多ip都已經(jīng)建立了網(wǎng)絡(luò)通訊

隨機(jī)打開幾個(gè)ip，發(fā)現(xiàn)都是 ubnt 的設(shè)備！

進(jìn)行取證時(shí)，我們在桌面發(fā)現(xiàn)了大量的黑客軟件

并且非常巧的是黑客也剛好遠(yuǎn)程登入了這臺(tái)機(jī)器

使用netstat查找黑客IP

發(fā)現(xiàn)了惡意IP：139.201.133.104 ，查詢ip138發(fā)先這個(gè)ip屬于 “四川”

后來，我們使用工具成功抓出管理員的密碼，使用administrator的帳號(hào)和密碼登入后發(fā)現(xiàn)黑客正開著遠(yuǎn)程控制工具

從圖片中可以看出：它正在監(jiān)聽端口是 8000，已經(jīng)被黑客控制的主機(jī)數(shù)量有 564 臺(tái).

8000端口也是與我們使用“netstat”查看的結(jié)果相符合！

另外，當(dāng)使用tcpview查看網(wǎng)絡(luò)連接發(fā)現(xiàn)了，它還正在攻擊其他IP的 9200端口.

9200端口是Elasticsearch?服務(wù)開啟的端口，由于Elasticsearch舊版本存在遠(yuǎn)程命令執(zhí)行的漏洞，所以可以被黑客利用攻擊，其POC如下：

詳情見：http://www.wooyun.org/bugs/wooyun-2014-062127

所以黑客還使用了9200端口去植入后門（linux架構(gòu)的蠕蟲）

注意這里攻擊的是“Elasticsearch”服務(wù)器，其植入過程如下：

取證回來的相關(guān)的惡意文件后，我們發(fā)現(xiàn)了植入ubnt設(shè)備的工具是叫“l(fā)inux命令批量執(zhí)行工具”

這里的植入惡意程序的命令和在與我們在客戶設(shè)備上見到的是一樣的!

推測出整個(gè)攻擊流程如下：

暴力破解存在弱口令的22端口

調(diào)用shell命令植入后門

黑客發(fā)送指令到被入侵的設(shè)備后進(jìn)行攻擊

我們從黑客的掃描后保存的結(jié)果來看，大量的ubnt設(shè)備存在弱口令，（黑客暴力破解時(shí)使用的用戶名和密碼就是ubnt設(shè)備出廠時(shí)的默認(rèn)密碼！）

我們隨機(jī)嘗試了幾個(gè)設(shè)備發(fā)現(xiàn)都存在默認(rèn)弱口令，并且多臺(tái)設(shè)備被多次對植入不同URL的蠕蟲

初步統(tǒng)計(jì)的URL包括過有：

并且包含惡意URL不停在變化（備注：并未全部包括！)

后期經(jīng)過我們分析發(fā)現(xiàn)惡意文件發(fā)現(xiàn)里面存在不少包含有*.f3322.org 和*.f3322.net網(wǎng)站作為了惡意服務(wù)的控制端域名,這兩個(gè)域名的注冊信息與pubyu.com(前生是3322.org)是同一家注冊，都是提供免費(fèi)的二級(jí)域名的注冊服務(wù)，因此備受黑客喜歡！

安恒安全團(tuán)隊(duì)再次提醒廣大客戶一定要做安全意識(shí)教育，杜絕各種弱口令、默認(rèn)口令的事情發(fā)生。另外物聯(lián)網(wǎng)飛速發(fā)展的今天，個(gè)人計(jì)算機(jī)可能不再是遭受黑客侵入的主要對象了，一切與網(wǎng)絡(luò)相連的設(shè)備都可能被黑客們侵入，各大傳統(tǒng)設(shè)備廠商也應(yīng)該肩負(fù)起保護(hù)客戶利益的責(zé)任！

本文出自 “無形網(wǎng)絡(luò)信息博客” 博客，http://wxsec.blog.51cto.com/10036527/1626114