V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
salemilk
V2EX  ›  程序员

服务器被攻击了 已查到 hack ip 要不要报警

  •  
  •   salemilk · 2023-06-29 22:56:36 +08:00 · 1942 次点击
    这是一个创建于 504 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请教一下各位,已经查到了 hack 的 ip 在江苏,要不要报警?

    Les1ie
        1
    Les1ie  
       2023-06-29 23:46:20 +08:00
    1. 判断你的损失大小,以及攻击方是否存在恶意。如果对面只是用 poc 打了没有留后门,那么我可能更倾向于自己修好漏洞然后放过他。当然如果对面在机器上乱整,那么肯定得收拾回去。

    2. 看看对方 IP 地址是家宽还是 IDC 机房,如果是 IDC 那么可能是沦陷的跳板机,即使报警了也很难抓到人

    3. 如果是挖矿木马,那么自己补洞吧,大概率是沦陷的肉鸡,自动化攻击全网然后释放挖矿程序,查起来难度巨大
    tramm
        2
    tramm  
       2023-06-30 08:41:08 +08:00
    先把地址放出来看看呢
    salemilk
        3
    salemilk  
    OP
       2023-06-30 08:50:00 +08:00
    对方 IP 地址:49.65.145.162

    [img]https://imgur.com/74211bb2-a64b-4f91-9d08-def13fceb987[img]

    昨晚 10 点半停止,今天从凌晨 2 点开始又开始了
    salemilk
        4
    salemilk  
    OP
       2023-06-30 08:53:23 +08:00
    我目前没有什么损失,对方一直在尝试注入找各种漏洞

    ip 地址,对方应该是家庭带宽,我从 IP138 上查,好像不太准,昨晚还是联通,今天变成 江苏南京电信了
    Sw0rt1
        5
    Sw0rt1  
       2023-06-30 09:11:16 +08:00
    @salemilk 没造成损失的话报警也没用,倒是可以发下攻击的流量包出来看看,或者 log 。
    如果已经造成损失需要报警的话就先固定证据,日志文件 dump 一份,攻击手段和时间;端口;ip 这三个要素。
    liuidetmks
        6
    liuidetmks  
       2023-06-30 09:31:33 +08:00
    比较困难吧,你得证明这个 ip 地址是源头,可能只是一个中继
    wangnimabenma
        7
    wangnimabenma  
       2023-06-30 09:50:52 +08:00
    真认为他们会管?
    salemilk
        8
    salemilk  
    OP
       2023-06-30 09:59:27 +08:00
    @wangnimabenma 已经抓到国内 IP 了,就差喂他们吃了
    harrozze
        9
    harrozze  
       2023-06-30 10:01:57 +08:00
    开了 80 的服务器经常会被各种扫,日志里一堆 wordpress 什么的请求地址最后都会 404 。首先确保你用的框架和组件没有什么漏洞吧
    Champa9ne
        10
    Champa9ne  
       2023-06-30 10:05:02 +08:00
    即使是家庭宽带也不一定就是攻击者所在位置的,也可能是被打或者被钓鱼控制了作为做流量转发而已。
    salemilk
        11
    salemilk  
    OP
       2023-06-30 10:06:02 +08:00
    @harrozze 是这样,各种 wp 的目录地址插件,他从 16 号开始到现在都快半个月了。。。
    salemilk
        12
    salemilk  
    OP
       2023-06-30 10:07:27 +08:00
    @Champa9ne 他有挂 vpn ,我个人认为那个 江苏 ip 是他的真实 ip 。
    proxychains
        13
    proxychains  
       2023-06-30 10:12:24 +08:00
    无法证明自己有损失的话, 报警了估计也没用
    Champa9ne
        14
    Champa9ne  
       2023-06-30 10:17:25 +08:00
    v2ex 不能直接贴图啊。OP 你上 https://x.threatbook.com/ 登录下查这个 IP 吧,一个威胁情报社区,这个 IP 攻击基本是这几个月开始的,感觉要么是脚本小子新学了两手乱扫一通,要么是被劫持了当流量转发。

    贴一下部分查到的信息:

    49.65.145.162 恶意 IP
    2023-06-26 情报更新
    中国 江苏省 南京市中国电信住宅用户

    该 IP 在 2023 年 06 月存在相关攻击行为。
    相关攻击者使用了 31 个不同的 User-Agent ,部分内容如下:
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
    Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36
    Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36


    从攻击行为角度分析,共发起过 5 类扫描攻击和 35 类渗透攻击。
    存在 5 类与扫描相关的攻击行为,部分攻击行为如下:
    XSS 攻击
    端口扫描
    敏感文件爆破
    存在 35 类与渗透相关的攻击行为,部分攻击行为如下:
    /etc/passwd 文件读取攻击
    Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084)
    路径穿越攻击
    近期相关攻击流量关键内容如下:
    sec=requestpass&email=test%******.com%22%3e%3cimg%20src%3da%20onerror%3dalert(document.domain)%3e11&code=AAAAA&login=
    在整个攻击过程中曾试图投递过 2 个木马,其中投递过的木马如下:
    http://example.com/?x%26v=1%2522
    http://ci5teirjtars74getg60rmujsq5tzaj5y.oast.site/geoserver/../&body=&username=&password=
    同 C 段中有 1 个恶意/可疑 IP ,存在扫描相关恶意行为。同 C 段 IP 如下:
    49.65.145.227


    每日攻击详情
    2023-06-16
    攻击手法
    扫描 (4)
    服务扫描:
    访问敏感文件 XSS 攻击敏感文件爆破 GIT 敏感文件扫描
    渗透攻击 (35)
    漏洞利用:
    /etc/passwd 文件读取攻击 Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084)路径穿越攻击通用 web 攻击命令执行攻击文件读取攻击 XSS 攻击 SQL 注入攻击 Web 漏洞扫描深信服 EDR 远程代码执行攻击文件上传攻击 WordPress 文件上传漏洞 WordPress 命令执行攻击 WordPress SQL 注入攻击 Joomla SQL 注入攻击(CVE-2015-7297)Dicoogle PACS 目录遍历攻击 SSRF 漏洞探测 OptiLink ONT1GEW GPON 命令注入攻击尝试扫描敏感文件 WordPress Wechat Broadcast 插件远程文件包含攻击(CVE-2018-16283)下载*-sql 数据库行为 Sonicwall 未授权缓冲区溢出攻击(CVE-2021-20038)Web 权限绕过攻击 JexBoss 命令执行攻击 Spring Boot Actuator 未授权攻击 WordPress 文件读取攻击 PHP zerodium 后门探测 BeanShell 远程代码执行攻击文件包含攻击 Zoho ManageEngine ADSelfService Plus 未授权命令执行攻击(CVE-2021-40539)蓝海卓越计费管理系统远程命令执行攻击 Micro Focus OBR 命令注入攻击(CVE-2021-22502)ShopXO 文件读取攻击(CNVD-2021-15822)BeanShell 未授权探测 ProFTPD mod-copy 模块信息泄露攻击(CVE-2015-3306)
    harrozze
        15
    harrozze  
       2023-06-30 10:22:35 +08:00
    @salemilk #11 两种可能,一种是中了木马他自己也不知道。另一种是脚本小子正在学。其实如果有漏洞的话,早就扫出来了,如果中间是不断循环的,我更倾向于是第一种。
    AIyunfangyu
        16
    AIyunfangyu  
       2023-06-30 10:45:33 +08:00
    @salemilk 需要防御,可以合作交流下 V:salemilk
    AIyunfangyu
        17
    AIyunfangyu  
       2023-06-30 10:46:07 +08:00
    V :with--tea
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5011 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 09:37 · PVG 17:37 · LAX 01:37 · JFK 04:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.