このノートの元の本は、Micropoorの前身であるMicro8からのものです。ここでは、自分が興味を持っている場所についてのみ、自分の学習ノートを取ります。最初に、どのクラスから来たかを示します。
以下は6回目のレッスン
からですが、マスターがとても分かりやすく書いてあるので、ここではアイデアやその他の紹介だけをします。
反撃ソーストレースの概要
イベントプロセス:製造元のログ分析でIPが見つかりましたが、ログに直接記録されたアクションが大量にイントラネットに記録され、攻撃プロセスや攻撃方法がなかったため、イントラネットのセキュリティが強化され、開始する方法がなくなり、どのバックドアをクリアする必要があるかがわかりません。さらに、ログ内の攻撃者のIPは外部IPであり、実際のIPがプロキシIPであるかどうかは不明です。実際の攻撃者の地理的な場所を特定できません。
アイデア:侵入防止は、攻撃者のマシンの権限を取得し、侵入サイトを復元し、侵入の考えを見つけます。また、バックドアを処理するために、侵入者の関連するバックドアが残されていることに注意してください。侵入者の実際のIPを取得して、地理的な場所を取得します。そして、攻撃者の攻撃経路によると、関連する脆弱性のセキュリティを強化します。
強化することを学ぶ
1. tnsログ
TNSプロトコルは、ORACLEサーバーとクライアント間の通信プロトコルです。TNSプロトコル伝送は、TCP / IPプロトコル、SSLを使用したTCP / IPプロトコル、名前付きパイプ、IPCプロトコル伝送を使用できます。TCP/ IPプロトコル伝送はクリアテキストで伝送されます。
2. DHCPレコードを介してアプリケーションを確認し、ロードファイルの脆弱性があることを確認します
。正直に言うと、ここでは理解できません。おじさんに理解してもらいたいのです。3 .
バックドアをずらして
、より興味深いリンクを張ってください。
アイデア
- 分析のためにベンダーログとtnsログを表示=== "Oracle関連のストレージを介して、ストレージ使用率ファイルとハッカーのソースIPを取得します。ここに2つのIPとサンプルファイルがあります
- 上記の2つのIPサーバーと他の情報をスパイし、サーバーのアクセス許可の取得、ログの表示、IPと対応する時間の取得など、状況に応じて考え方を変更し、可能な限りトレースを残さないようにしてください。
- DHCPレコードを介してアプリケーションを確認し、脆弱性とシフトの脆弱性を含むファイルがあることを確認します。16進数で読み取り、分析してから接続します。
- シフトバックドアに焦点を当てた、逆解析によって取得された2つのサンプルファイル
- シフトバックドアを接続すると、cmdコマンドとシステム権限がポップアップします。
- 攻撃者のIP、対応する時間、その他のファイルに関するフォレンジックのサーバーログを検索
- 上記のサンプル分析とサーバーファイルによると、製造元のWebサイトおよびその他の補強
