网络安全事件调查与攻击者剖析
1. 网络安全事件初现端倪
在对与SCCS存在信任关系的部分系统进行检查时,发现了一些令人担忧的活动。对与SCCS相关的部分系统进行随机扫描后,发现Dalmedica的一名管理员用于通过Secure Shell (SSH)连接到SCCS和其他服务器的Windows系统已被一个特洛伊后门程序入侵。此外,几个相关UNIX系统上的.rhosts文件已使用特定的主机和用户名进行了更新,具体如下:
- devsys.dalmedica.com
- root
- devsys.dalmedica.com
- bschien (一名前开发人员)
- crimson.dalmedica.com
- cvs
同时,位于公司局域网的基于网络的入侵检测系统 (IDS) 的日志和警报显示,在过去几周内,多个局域网系统出现了异常活动。安装在Internet DMZ的IDS也在同一时期因常见网关接口 (CGI) 脚本错误和试图提升权限的攻击而触发,相关信息如下:
[**] [1:1122:1] WEB-MISC [**]
[Classification: Attempted Privilege Escalation]
[Priority: 2]
11/05-23:01:09.761942 208.198.23.2:1438 ->
204.70.10.229:80
TCP TTL:128 TOS:0x0 ID:10349 IpLen:20 DgmLen:314 DF
***AP*** Seq: 0x2277A4B3 Ack: 0xED9E771
超级会员免费看
订阅专栏 解锁全文
1011

被折叠的 条评论
为什么被折叠?



