Windows服务器被黑客攻击:使用Wireshark分析流量并查找后门程序监听端口
Windows服务器疑似被黑客攻击:使用Wireshark分析流量并查找后门程序监听端口
背景:
作为公司安全部门的安全工程师,你需要协助运维部门排查一台位于DMZ区域的Windows服务器疑似被黑客攻击的事件。由于公司安全预算有限,缺乏SOC、防火墙等安全设备,排查工作面临挑战。幸运的是,运维同事使用Wireshark记录了黑客攻击时间段的网络流量。你需要根据提供的流量文件 (data.pcapng) 和相关信息,帮助运维同事分析攻击并回答关键问题。
目标: 找出黑客留下的后门程序监听的端口。
已知信息:
- 服务器IP地址:202.10.20.200* 用户名和密码:administrator/com.1234* 重要文件存储位置:C盘下的test文件夹* D盘曾备份过test文件夹* 操作机提供工具:Notepad++, Wireshark, WhatInStartup, ProcessExplorer
分析步骤:
-
打开流量文件: 在操作机上启动Wireshark,并打开桌面上的'data.pcapng'文件。
-
筛选目标服务器流量: 在Wireshark的过滤器输入框中输入'ip.addr == 202.10.20.200',筛选出与目标服务器相关的流量。
-
查找可疑连接: 仔细查看筛选后的流量列表,寻找以下可疑活动: * 与外部可疑IP地址的通信。 * 使用非标准端口的通信,特别是服务器监听的端口。 * 数据传输量异常的连接。 * 使用加密协议但无法解密的流量。
-
分析可疑连接: * 查看连接的TCP或UDP端口号。 * 查看连接的协议类型,如HTTP、HTTPS、FTP等。 * 分析数据包内容,尝试识别攻击类型和目标。
-
确定后门程序监听端口: 如果发现目标服务器持续监听某个非标准端口,并与可疑IP地址进行通信,则该端口很可能就是后门程序监听的端口。
其他排查思路:
除了分析网络流量,你还可以采取以下措施进一步排查问题:
- 检查系统进程:使用ProcessExplorer工具查看服务器上运行的进程,关注可疑的进程名、路径和网络连接。* 检查启动项:使用WhatInStartup工具检查系统启动项,查找可疑的程序或脚本。* 分析系统日志:查看Windows系统日志和应用程序日志,查找与攻击相关的事件记录。
提示:
- 在分析过程中,注意记录所有发现的可疑信息,以便后续调查和取证。* 为避免对服务器造成二次污染,建议在操作过程中尽量避免修改系统文件和配置。* 如果条件允许,建议在分析完成后对服务器进行彻底的安全检查和加固。
原文地址: http://www.cveoy.top/t/topic/fyCn 著作权归作者所有。请勿转载和采集!