专栏首页黑伞攻防实验室对某台服务器事件日志的分析

对某台服务器事件日志的分析

对某台服务器事件日志的分析

EventID =5038

进程有规律,短时间内频繁操作。发生该操作的原因最大可能是有重要的文件将要被修改,360防火墙的策略将其禁止。如此频繁的操作是很可疑的。

Event4624,Event4634

这两个事件ID显示很明显,是攻击者正在以匿名账户的形式对该服务器进行攻击。对日志进行分析后发现针对本服务器进行攻击的IP为内网IP。怀疑内网有机器被黑客攻陷,并以此作为跳板机对其他机器成功进行内网横向渗透,并利用其他机器做为“肉鸡”对内网的其他机器进行渗透。由事件日志可以看出,本服务器开启了匿名访问策略,建议关闭此策略。(Event4624是登陆成功事件ID,Event4634是成功注销ID)

Event4625

此事件日志显示的是内网的一台机器频繁地使用网络登陆方式尝试对本服务器进行的登陆,是一起很明显的暴力破解登陆密码的尝试。

从事件日志可以看出进行暴力破解攻击的时间段大致与员工正常上下班时间和假期时间吻合,由此可以看出该内网内有员工的机器被入侵,当员工上班时木马便开始对服务器进行暴力破解。由此可以溯源到使用该IP的员工机器,对那台机器进行木马查杀。

Event4776Event4626

Event4776和Event4626通常成对出现。出现此事件ID说明域内机器正在使用需要域控服务器管理员权限的操作,需要管理员重视!确认员工操作是否违规。

对日志的综合分析:

对日志进行综合分析后可以得出以下结论:

域内IP为10.76.123.130的机器被黑客入侵,植入了木马。木马先利用暴力破解的方法获得本服务器的管理员登陆账号密码,然后登陆本服务器后对服务器的高权限工作进行操作后,欲对服务器的重要配置文件进行修改,但是被360的防火墙等设备识别并拦截。从时间上看,不太可能是认为操作,怀疑是黑客写的脚本在运行,需要对员工的机器进行全面检查。

分析日志时发现域内不只一台机器遭受入侵,而且日志显示IP的段地址范围较广,由此大概可以判断,黑客可能对该服务器的网段进行了较长时间的渗透。

黑伞还在!

本文分享自微信公众号 - 黑伞攻防实验室(hack_umbrella),作者:阿雷头

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 日志分析工具logParser的使用

    ——本文来自阿雷头

    用户2202688
  • 跨域资源共享(CORS)

    简单先了解一下CORS,方便我们后续去挖一些CORS的漏洞,最近CORS也是比较火的!

    用户2202688
  • Cobalt Strike 扩展模块开发(一)

    首先感谢大家对Erebus的宝贵建议与支持,我将陆续更新Erebus的功能,不断去完善实战中遇到的问题

    用户2202688
  • Debatching(Splitting) XML Message in Orchestration using DefaultPipeline - BizTalk 2010

    Debatching(Splitting) XML Message in Orchestration using DefaultPipeline - BizTa...

    阿新
  • 对X射线图像COVID-19自动检测方法的评价(CS CV)

    本文对X射线图像中用于COVID-19自动诊断的不同检测方案进行了比较和评价。我们发现,使用不显示大部分肺的X射线图像也可以得到类似的结果。我们可以通过将扫描中...

    Elva
  • 作为window对象属性的元素 多窗口和窗体

    如果html文档中用id属性为元素命名。并且如果 window对象没有此名字的属性,则window对象会赋予一个属性,其名字为id属性的值,其值指向该元素

    mySoul
  • Selenium(Webdriver)的安装

    安装selenium前需要确保python安装成功,并且已经安装了pip。安装 pip 的好处是可以使用 pip 命令方便地安装 Python 第三方库。在通过...

    Altumn
  • Fiori应用里如何给客户主数据维护图片

    Upload an attachment for account and maintain attribute as below:

    Jerry Wang
  • MIT通用人工智能课视频放出,要教你用工程方法构建人类智能

    李林 发自 凹非寺 量子位 出品 | 公众号 QbitAI ? MIT最近开了一门“通用人工智能(AGI)”课,要带着学生们用工程方法来探索构建人类级智能的研究...

    量子位
  • 一行Python代码计算两点间曼哈顿距离

    以下图为例,图中白色方块表示楼房,是无法穿越的,只能绕行,那么从左下角出发到达右上角,红色、蓝色、黄色三条路线的距离是相等的,也就是所谓曼哈顿距离,或者实际行走...

    Python小屋屋主

扫码关注云+社区

领取腾讯云代金券