这是一个创建于 913 天前的主题,其中的信息可能已经有所发展或是发生改变。
请教一下各位,已经查到了 hack 的 ip 在江苏,要不要报警?
 | 1 Les1ie 2023-06-29 23:46:20 +08:00 1. 判断你的损失大小,以及攻击方是否存在恶意。如果对面只是用 poc 打了没有留后门,那么我可能更倾向于自己修好漏洞然后放过他。当然如果对面在机器上乱整,那么肯定得收拾回去。 2. 看看对方 IP 地址是家宽还是 IDC 机房,如果是 IDC 那么可能是沦陷的跳板机,即使报警了也很难抓到人 3. 如果是挖矿木马,那么自己补洞吧,大概率是沦陷的肉鸡,自动化攻击全网然后释放挖矿程序,查起来难度巨大 |
 | 2 tramm 2023-06-30 08:41:08 +08:00 先把地址放出来看看呢 |
 | 3 salemilk OP 对方 IP 地址:49.65.145.162 [img]https://imgur.com/74211bb2-a64b-4f91-9d08-def13fceb987[img] 昨晚 10 点半停止,今天从凌晨 2 点开始又开始了 |
| 4 salemilk OP 我目前没有什么损失,对方一直在尝试注入找各种漏洞 ip 地址,对方应该是家庭带宽,我从 IP138 上查,好像不太准,昨晚还是联通,今天变成 江苏南京电信了 |
 | 5 71efNjg6n5jD74Lm 2023-06-30 09:11:16 +08:00 @salemilk 没造成损失的话报警也没用,倒是可以发下攻击的流量包出来看看,或者 log 。 如果已经造成损失需要报警的话就先固定证据,日志文件 dump 一份,攻击手段和时间;端口;ip 这三个要素。 |
 | 6 liuidetmks 2023-06-30 09:31:33 +08:00 比较困难吧,你得证明这个 ip 地址是源头,可能只是一个中继 |
 | 7 wangnimabenma 2023-06-30 09:50:52 +08:00 真认为他们会管? |
| 8 salemilk OP @wangnimabenma 已经抓到国内 IP 了,就差喂他们吃了 |
 | 9 harrozze 2023-06-30 10:01:57 +08:00 开了 80 的服务器经常会被各种扫,日志里一堆 wordpress 什么的请求地址最后都会 404 。首先确保你用的框架和组件没有什么漏洞吧 |
 | 10 Champa9ne 2023-06-30 10:05:02 +08:00 即使是家庭宽带也不一定就是攻击者所在位置的,也可能是被打或者被钓鱼控制了作为做流量转发而已。 |
 | 13 proxychains 2023-06-30 10:12:24 +08:00 无法证明自己有损失的话, 报警了估计也没用 |
| 14 Champa9ne 2023-06-30 10:17:25 +08:00 v2ex 不能直接贴图啊。OP 你上 https://x.threatbook.com/ 登录下查这个 IP 吧,一个威胁情报社区,这个 IP 攻击基本是这几个月开始的,感觉要么是脚本小子新学了两手乱扫一通,要么是被劫持了当流量转发。 贴一下部分查到的信息: 49.65.145.162 恶意 IP 2023-06-26 情报更新 中国 江苏省 南京市中国电信住宅用户 该 IP 在 2023 年 06 月存在相关攻击行为。 相关攻击者使用了 31 个不同的 User-Agent ,部分内容如下: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 从攻击行为角度分析,共发起过 5 类扫描攻击和 35 类渗透攻击。 存在 5 类与扫描相关的攻击行为,部分攻击行为如下: XSS 攻击 端口扫描 敏感文件爆破 存在 35 类与渗透相关的攻击行为,部分攻击行为如下: /etc/passwd 文件读取攻击 Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084) 路径穿越攻击 近期相关攻击流量关键内容如下: sec=requestpass&email=test%******.com%22%3e%3cimg%20src%3da%20onerror%3dalert(document.domain)%3e11&code=AAAAA&login= 在整个攻击过程中曾试图投递过 2 个木马,其中投递过的木马如下: http://example.com/?x%26v=1%2522 http://ci5teirjtars74getg60rmujsq5tzaj5y.oast.site/geoserver/../&body=&username=&password= 同 C 段中有 1 个恶意/可疑 IP ,存在扫描相关恶意行为。同 C 段 IP 如下: 49.65.145.227 每日攻击详情 2023-06-16 攻击手法 扫描 (4) 服务扫描: 访问敏感文件 XSS 攻击敏感文件爆破 GIT 敏感文件扫描 渗透攻击 (35) 漏洞利用: /etc/passwd 文件读取攻击 Confluence Webwork OGNL 表达式注入攻击(CVE-2021-26084)路径穿越攻击通用 web 攻击命令执行攻击文件读取攻击 XSS 攻击 SQL 注入攻击 Web 漏洞扫描深信服 EDR 远程代码执行攻击文件上传攻击 WordPress 文件上传漏洞 WordPress 命令执行攻击 WordPress SQL 注入攻击 Joomla SQL 注入攻击(CVE-2015-7297)Dicoogle PACS 目录遍历攻击 SSRF 漏洞探测 OptiLink ONT1GEW GPON 命令注入攻击尝试扫描敏感文件 WordPress Wechat Broadcast 插件远程文件包含攻击(CVE-2018-16283)下载*-sql 数据库行为 Sonicwall 未授权缓冲区溢出攻击(CVE-2021-20038)Web 权限绕过攻击 JexBoss 命令执行攻击 Spring Boot Actuator 未授权攻击 WordPress 文件读取攻击 PHP zerodium 后门探测 BeanShell 远程代码执行攻击文件包含攻击 Zoho ManageEngine ADSelfService Plus 未授权命令执行攻击(CVE-2021-40539)蓝海卓越计费管理系统远程命令执行攻击 Micro Focus OBR 命令注入攻击(CVE-2021-22502)ShopXO 文件读取攻击(CNVD-2021-15822)BeanShell 未授权探测 ProFTPD mod-copy 模块信息泄露攻击(CVE-2015-3306) |
| 15 harrozze 2023-06-30 10:22:35 +08:00 @salemilk #11 两种可能,一种是中了木马他自己也不知道。另一种是脚本小子正在学。其实如果有漏洞的话,早就扫出来了,如果中间是不断循环的,我更倾向于是第一种。 |
 | 16 AIyunfangyu 2023-06-30 10:45:33 +08:00 @salemilk 需要防御,可以合作交流下 V:salemilk |
| 17 AIyunfangyu 2023-06-30 10:46:07 +08:00 V :with--tea |
Select Language