溯源方法总结.pdfVIP

溯源方法总结

笔记本：应急

创建时间：2022/9/225:29

1、入侵痕迹查找

2、溯源方法

3、小结

1、入侵痕迹查找

如何确定自己被入侵那是很简单，如页面被篡改、勒索病毒数据被加密、挖矿木马导致服

务器卡等现象，当确定遭受攻击时就要开展应急处置了，首先确定既然出现页面篡改等情

况了意味着网站服务器已经被拿下，通过获取的权限对系统实施攻击，拿下服务器的权限

方法有很多，先确定被害主机都有哪些应用，如果存在web应用就要考虑是常见web漏洞

了，如果存在OA、致远等一些通用办公软件，就要考虑是不是为0day或nday，如果服务

器上什么都没有那就考虑是不是爆破了，如果不是爆破就考虑是系统0day或nday了，就

类似17年的永恒之蓝漏洞。当出现挖矿或勒索病毒除了服务器权限外也可能会出现内部人

员下载了捆绑该类木马的软件，或收到了该类恶意文件的邮件等，也就是所谓的人为误操

作，这次主要讨论第一种情况的入侵痕迹查找，常用方法如下：

1、netstat查看异常连接，通常情况下挖矿木马或勒索病毒都会存在一个外部的连接地

址，用来进行通信，该地址通常为国外地址，也可能是某个vps的地址，可通过关闭正常的

一些互联网连接后重点分析剩下的链接信息，可利用脚本去分析判断ip归属地，分析是否

为异常连接；

2、根据异常连接可获取pid进而获取异常程序存放位置；

3、通常情况下挖矿病毒会占用较高cpu，可用top等命令进行筛选，查找确定异常进程；

3、根据时间查找，可根据事件发生时间进行搜索，win下可使用dmudd命令

查找，linux下可使用find等命令，dm命令利用everything进行搜索

4、针对web类攻击首先利用shell扫描工具等方法定位shell，然后对日志进行分析，中间

件日志、防护设备等日志，根据关键字和时间进行攻击ip定位；

5、windows、ssh等登录日志也要进行排查，之前确实碰到过通过爆破3389登录服务器成

功，然后植入勒索病毒进行加密的；

2、溯源方法

当然具体的排查方法还有很多，主要总结下溯源的一些方法：

ip定位：

通过情况下能根据日志或连接获取ip地址，接着就是顺藤摸瓜获取更多信息：

微步在线查看：

微步在线有一个很好用的功能，可以g根据ip地址进行分析，判断改ip地址是否为恶意地

址，是否被存在曾经被解析的域名，利用尝试对此ip地址进行溯源41，微步

显示该ip地址为恶意地址，存在扫描等恶意行为

解析域名显示的该ip地址曾被解析的域名有哪些

知道了域名就可以查看域名相关信息，可以直接访问该域名，查看网站内容，对该域名进

行反查等，查看域名相关注册信息，查看其中一个域名的whois信息，可

以获取域名注册人姓名、邮箱账号等相关信息

然后根据手机号等信息可具体在查找支付宝、微信，也能根据公开的社工库获取相关敏感

信息。

ip定位：

所谓的ip定位就是根据ip地址去定位到大概的位置，可采用如下地址对常见的ip地址进行定

位

/query/ip?

这个网站还有公安版，应该能查询更多详细的数据