threatBook龙啸天
IOC 2

threatBookthreatBook

拒绝服务攻击蜜罐捕获爆破恶意网站后门连接
【蜜罐捕获】Linux下的活跃的DDoS攻击病毒
龙啸天
2019-05-13 17:23:17ThreatBook500
+ 关注

IOC:

58.218.67.161

----------------------------------

入侵方式:SSH爆破入侵

今天下午(2019年5月13日 15:15:44)蜜罐系统捕捉到一个DDoS攻击病毒

Image

过了不久之后蜜罐系统的网络流量开始出现异常

我对蜜罐系统做了个限流 同时在上层服务器启动抓包对其进行监控

Image

对IP为 47.244.69.85 的阿里云服务器发送大量的udp垃圾数据包!

立刻监控病毒程序!

Image

带有udp的网络连接

同时查找此程序的tcp网络连接

Image

可疑服务器IP:58.218.67.161 端口:48080

48080端口!台风DDoS攻击端的默认端口!

同时根据上面的HFS下载站网址:http://58.218.67.161:82/

我们进去看一下

Image

可以实锤了,此服务器是C&C服务器!

查到使用此C&C服务器的黑客的两条个人信息:

手机号:13826865926

QQ号:980155811

----------------------------------

预防方案:不使用简易密码,若已使用请及时更改密码,同时查看系统进程内是否有异常的网络连接。

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
58.218.67.16101140
Hash检测结果样本标签
011df86729f4409feb8a6df6efd4f6d0108d330c9e6294311d670a5560e0ff3010/2502
3

评论

ThreatBook
已经到底了,没有更多内容了