从RDP爆破定位内部攻击者
2023-05-04 来源:飞速影视
文章来源:Bypass
一台没有发布任何服务到公网的服务器,却有大量的zh登录失败记录,咋一看实在有点让人费解。我们需要做的就是,从繁杂的现象中,拔丝抽茧找到有价值的信息,进一步定位攻击来源,从根源上解决gj问题。
01、攻击现象
一台内网服务器,Windows安全日志存在大量的zh登录失败记录(事件ID:4625)。
使用LogParser进行安全日志分析,编写查询语句对登录失败记录进行汇总:
如上图,登录类型 10代表的是远程登录,使用administrator尝试登录了48w次,确认服务器正在遭受RDP协议暴力破解攻击,攻击来源为内网的另一台服务器。
接下来,我们需要登录相关服务器进行排查原因。
02、入侵排查
(1)跟踪网络连接
首先从网络连接来确认一下是哪个进程在暴力破解。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号