微信号 MeiyaPico
功能介绍 国内电子数据取证行业龙头和公共安全大数据领先企业,网络空间安全与社会治理领域国家队,国投数字经济板块重要企业。先后被认定为“国家规划布局内重点软件企业”、“国家创新型试点企业”等。
1、2012-1-16至22日之间黑客开始对目标(ip:203.***.***.15)服务器发起入侵活动。2012-03-07 03:57,黑客通过目标asp站点的Fckeditor编辑器任意上传漏洞取得网站webshell权限
2、黑客通过webshell成功提权,得到服务器管理员权限.
*通过注册表信息分析,黑客有执行mimikatz密码读取工具的记录,可能是在提权阶段使用该工具成功得到系统管理员账号密码
3、黑客通过提权获取的管理员(lewlian3)的用户密码远程登入服务器,于2012-03-12 21:31对服务器数据进行打包操作,打包文件名为:C:\SSHD\data.zip,黑客在2012-03-12 22:28开始用184.***.***.25下载data.zip,在2012-03-13 12:20完成了下载
4、2012-03-14 02:04黑客登入服务器清空系统日志。
*标红为重点入侵对象
1、通过对日志记录分析,有多处ip访问了webshell后门,其中ip为184.***.***.25有下载服务器打包文件,该ip可能为相关vpn代理服务器ip,ip为14.***.***.191有成功下载tuo.zip数据文件。
下篇作者将会给我们分享案件的取证分析方法,以及案件带来的反思,尽请期待。
微信扫一扫关注该公众号