Weixin ID MeiyaPico
About Feature 国内电子数据取证领域龙头企业、网络空间安全专家,主要服务于国内各级司法机关以及行政执法部门。公司主营电子数据取证、网络空间安全、大数据信息化产品、专项执法装备等产品,先后被认定为“国家规划布局内重点软件企业”、“国家创新型试点企业”。
1、2012-1-16至22日之间黑客开始对目标(ip:203.***.***.15)服务器发起入侵活动。2012-03-07 03:57,黑客通过目标asp站点的Fckeditor编辑器任意上传漏洞取得网站webshell权限
2、黑客通过webshell成功提权,得到服务器管理员权限.
*通过注册表信息分析,黑客有执行mimikatz密码读取工具的记录,可能是在提权阶段使用该工具成功得到系统管理员账号密码
3、黑客通过提权获取的管理员(lewlian3)的用户密码远程登入服务器,于2012-03-12 21:31对服务器数据进行打包操作,打包文件名为:C:\SSHD\data.zip,黑客在2012-03-12 22:28开始用184.***.***.25下载data.zip,在2012-03-13 12:20完成了下载
4、2012-03-14 02:04黑客登入服务器清空系统日志。
*标红为重点入侵对象
1、通过对日志记录分析,有多处ip访问了webshell后门,其中ip为184.***.***.25有下载服务器打包文件,该ip可能为相关vpn代理服务器ip,ip为14.***.***.191有成功下载tuo.zip数据文件。
下篇作者将会给我们分享案件的取证分析方法,以及案件带来的反思,尽请期待。
Scan to Follow