亚博_主页

根正苗红网站遭!三小时亚博官网锁定疑犯.

2018-10-08 20:31:15  by亚博国际

根正苗红网站遭!三小时亚博官网锁定疑犯.

累计赌资42 亿余元

非法获利7 亿多!

扣押服务器55 台

抓获犯罪嫌疑人23 名

冻结涉案资金1.1 亿余元!

一般来说,一则黑产落网新闻吃瓜群众看到的只是媒体们大写加粗的震撼数字,殊不知,比起警察蜀黍坐了飞机、火车、汽车甚至马车从大洋彼岸或者偏远深山逮到搞黑产的马仔这件事,他们更感兴趣的是如何从赛博世界顺着网线逮到这些人.

就好像宫斗剧有意思的不是谁都能猜到的大结局,而是扑朔迷离的过程.追捕疑犯也是如此,摆在那里的数字吸引力远比不上中间的过程,越刺激越好.

但是,真相往往不尽如人意,你所期待的大片既视感可能不存在,存在的只有一台电脑和一位白帽子.

事发

白帽子 SkyMine 接到通知的时候正在打瞌睡,哦不,工作.挂了电话,SkyMine 二话不说赶了过去.


有事,大事

某根正苗红的网页被了,内容还十分不和谐(请自行想象,根正苗红的宅宅不多做提示).

到了现场SkyMine 检查后发现出事的服务器是台虚拟机,操作系统是 Windows 2008 R2 ,网站使用了 phpstudy 集成环境进行部署.但是,Windows 事件日志服务并没有启用,更可能的是黑客大哥进来后顺手关闭了.

系统日志是个啥呢?他记录了系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件.用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹.

SkyMine 转念一想,这台服务器既然承载着 Web 服务,而且硬件防火墙只对外映射80 端口,是不是有可能是以Web 攻击作为入口的?可以一看.

但是,Nginx 的网站访问日志也已经遭到清除……双击666

不过幸运的是,网站访问日志配置了流式异地备份,SkyMine 也就能在另一台日志服务器上找到了完整且未失真的网站访问日志副本.

不过,任凭SkyMine 反反复复把事发时间前后的网站访问日志分析了个遍,都没有发现任何web 攻击的痕迹.

这就很奇怪了,这说明黑客并没有直接用网页木马发送页面的指令.难道是通过NC 之类的反向连接工具建立通道来进行控制的?

为了求证(打脸),SkyMine 通过调查开始时生成的虚拟机快照提取了内存镜像,为了有多个内存样本进行交叉分析,他又掏出"家伙" (一款名为dumpit 的工具)提取了内核级的内存完整镜像