蜜罐捕获 入侵 爆破 弱口令攻击 远控服务器
【蜜罐捕获】Windows服务器捕捉到一个对外攻击的黑客
龙啸天 2019-09-27 12:27:01 1899人浏览

IOC:

101.87.68.212

122.228.255.102

222.186.169.160

-------------------------------------------

今天给服务器做运维的时候发现一个使用s扫描器对外扫描攻击的黑客

入侵方式为:RDP爆破入侵

登录IP:101.87.68.212

Image

Image

网络定位:上海市宝山区小赵车行西北220米

登录后使用s扫描器对外扫描,扫描端口为22

Image

我将后门账户清理后频繁出现大量其他后门账户

并且将我的远程会话关闭

我登录他就注销我的账号

最后将我的账号删除并且禁用了administrator账户

后发现此人远程控制服务器:

122.228.255.102

222.186.169.160

其中,

222.186.169.160 的 80 端口为木马下载站

以及 122.228.255.102 的 1000 端口也是木马下载站

Image

木马的远程控制IP为:222.186.169.160 端口:8080

Image

此IP反查后发现是一个带有QQ号的f3322.net的域名:

q38080945.f3322.net

顺藤摸瓜根据此QQ号查询此人

Image

根据QQ界面的内容是一个win03系统的网络连接详情截图

截图内的行业与本次事件的各类信息基本吻合

可以确定是此人所做

为了防止打草惊蛇 我并未再次登录服务器下载此人的木马

有兴趣的可以去他的两个病毒下载站下载玩玩

ip地址(3) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
moxin1044 2019-09-28 12:29:55 回复
可以可以
匿名用户 2019-09-27 14:43:42 回复
奖励计划banner
今日推荐