上海哪家公司提供专业的网站建设,珠海有什么网站,网站顶部广告,网站seo去哪个网站找好导师给了7个网络安全课题选题#xff0c;本想和他聊了下思路#xff0c;他一挥手让我先做出点东西再来聊就把我打发走了……
正好前段时间阿里云到校做推广#xff0c;用优惠卷薅了一台云服务器#xff0c;装了hfish先看下情况
没想到才装上没两天数据库就爆了#xff0…导师给了7个网络安全课题选题本想和他聊了下思路他一挥手让我先做出点东西再来聊就把我打发走了……
正好前段时间阿里云到校做推广用优惠卷薅了一台云服务器装了hfish先看下情况
没想到才装上没两天数据库就爆了跑到客服群里问换mysql关扫描感知一通操作性能好多了
稳定下来又观察了一个月发现针对SSH的爆破攻击最多发现有两个可以深入的点
1使用ssh云端高交互蜜罐可以抓到攻击者的操作比如上传后门木马文件下载之后还能放到沙箱看看具体的等级、威胁情况、C2地址等是一种稳定的情报生产方式用perl可以加到院里防火墙做提前拦截/阻断
2ssh低交互蜜罐会存储大量攻击爆破hfish的密码表即可形成爆破字典借此可反扫描攻击来源IP从而反控攻击来源主机具体原因是经过分析蜜罐抓到的很多都是被自动化蠕虫感染的僵尸主机这些主机之所以被感染是因为存在弱密码正常主机被蠕虫感染后就会进行相同的恶意行为所以同理可证我们用同样的攻击工具和密码本反破解僵尸主机有大概率能控制它们。
第一个点子让大飞哥帮我写了个脚本他们公司也用这个蜜罐第二个需要自己动手
密码表
先通过web界面导出收集的账号密码 导出后有3万7条 一个有趣的地方有小白黑客搞错了参数将爆破的账号密码参数都搞反了手动修正后去重剩34000
求大飞哥把他们公司装在云上的N个hfish蜜罐收集到的账号密码也导给我了修正然后再和34000的合并去重后有了一个九万条的密码表
扫描地址
这里有点麻烦先在linux上安装个jq程序 yum install jq hfish提供了一个api可以拿攻击来源ip不过hfish吐出来的是一个大json用jq程序我们将其中ip地址取出来
经过反复测试执行如下命令最终可以得到一个ip一行的大txt文件 curl -k -X POST “https://我的蜜罐地址:4433/api/v1/attack/ip?api_key不告诉你” -d ‘{“start_time”: 0,“end_time”: 0,“intranet”: 0}’ | jq “.data .attack_ip”[] | sed s///g 最后是激动人心的时刻我做了一个计划任务每天从hfsih api接口取前一天的攻击来源地址。
用从github上下载的hydra加载9万个密码表暴力破解运气好的话每天可以反向控制150台左右的境外ip有时候运气不好只有40几台为避免法律风险这里就不贴图了。
经过抽样分析大部分主机已经被蠕虫反复感染
进一步执行netstat -ant 和查看ssh登录记录得到更多攻击来源地址
再用perl做一个脚本生成csv文件导入到nrd中生成关系图不知道为什么nrd老崩溃但数据已经到手了可以找导师去了
生成csv文件导入到nrd中生成关系图不知道为什么nrd老崩溃但数据已经到手了可以找导师去了
网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话可以在文末下载无偿的大家也可以一起学习交流一下。 一些我收集的网络安全自学入门书籍 一些我白嫖到的不错的视频教程 上述资料【扫下方二维码】就可以领取了无偿分享
