国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

原創(chuàng) 2016-10-07 Python Piz0n

------------------------------------

一般入侵者的流程是這樣的：
   
    簡單說，入侵者最終留下的攻擊是一條線（無論是在動作還是在時間上）。當然，其中會有很多嘗試的過程，每次嘗試都會留下痕跡（如果不清除的話），然后在這些嘗試中選擇最好的一個點繼續(xù)走下去，走完這條線。

所以，按照理想的狀態(tài)下，分析者得到的結(jié)果應(yīng)該是這樣的：

也就是說，把那些入侵者的所有痕跡都找到并聯(lián)系在一起，同時將試錯排除掉，最終得到的就是一條清晰的入侵路徑，這條路徑就清晰的說明了怎么來的、從哪兒來的、到哪兒去了 等等。

不過，一般我們看到的分析結(jié)果都是這樣的：

    我見過很多入侵分析報告，里面給出了非常具體的一些點，比如：后門在哪里、怎么清除后門、漏洞在哪里、怎么修補漏洞。更見過很多套路是這樣的，入侵分析上來不找證據(jù)不跟用戶聊背景，而是先做一次滲透測試，把滲透測試的結(jié)果當作入侵者的攻擊漏洞來放到最終的報告里說事兒。我完全看不懂其中的邏輯所在。

針對入侵事件的分析在于，將事件本身的起點、過程和終點通過證據(jù)鏈接到一起來回溯整個事件，這些與目標存在什么樣的漏洞、缺陷本質(zhì)上相關(guān)性并不大。

在入侵分析中，有很多標準化的檢查流程，但我認為，標準檢查流程只能應(yīng)對標準hacking流程 —— 也就是說，正好對方是看教程出來的，而你也是拿著教程跟他對抗的 —— 你倆加起來就是一本教科書。

而對于有些技術(shù)基礎(chǔ)的入侵者所實施的稍復(fù)雜的入侵，就只能說，大邏輯勝過小邏輯：

大邏輯是入侵者的意圖、技術(shù)思路、并且結(jié)合目標特性而產(chǎn)生的一些其他東西。

而小邏輯就是很多標準流程里所描述的那樣 —— 入侵者應(yīng)該先外部采集、再掃描、再利用 ……

如果不能突破對大邏輯和小邏輯這兩個區(qū)別的認知，一旦遇到稍復(fù)雜的入侵，就很難完整回溯整個事件。

*************************************

下面看兩個案例說一下邏輯問題。

*************************************

案例一

·世界杯期間，被掛與世界杯無關(guān)的博彩

·被掛服務(wù)器只是全國幾百臺服務(wù)器中的一個

·被掛的服務(wù)器與其他服務(wù)器的后臺用的系統(tǒng)為同一套系統(tǒng)

當然，處理博彩的案例相信很多人都有經(jīng)驗，甚至應(yīng)該很多人比我更熟悉博彩那套自動掛頁面的玩意。

但這里說的是一個利益邏輯問題 —— 明明可以掛世界杯，為什么還要掛傳統(tǒng)的那些玩意；明明可以掛全國，為什么只掛了一個。

當然我們可以假設(shè)，這群家伙是為了低調(diào)奮進謀發(fā)展，但利益面前一比對這話就扯的有點不堪一擊了。

所以看到這些條件的時候，我給出的基本判斷就是 —— 這次被入侵者拿下的服務(wù)器，一定就簡單的好像白撿的一樣，才會這么不珍惜。

所以綜合這些因素來看，有幾個猜想點：可能用了簡單的弱口令或已知漏洞，可能是自動化行為，可能利用了某些不在備案之中的服務(wù)器。

從后期溝通發(fā)現(xiàn)，已知漏洞概率比較小（具體原因不說了，反正不是沒概率，只是相對來說概率較低）。所以轉(zhuǎn)向清查資產(chǎn)和弱口令。

最終結(jié)果就是，一臺沒有在案的服務(wù)器，有個弱口令。而且有證據(jù)表明，入侵者從掃描到入侵甚至到后期發(fā)布頁面，整個流程的自動化程度非常之高。

這里的大邏輯在于，通過利益和表現(xiàn)出來的結(jié)果進行分析，入侵者方是以薄利多銷、多快好省為基本原則，這樣的話，一定是最快、最簡單的快速完成一次入侵和控制，而不是費時費力的上人、上設(shè)備、上資源。因此才有了上面的一些判斷。

而傳統(tǒng)的小邏輯（標準流程）其實也不是不成立，但一定是很難在其中發(fā)揮功效的。否則那些現(xiàn)場排查的人們，也不會毫無發(fā)現(xiàn)。

*************************************

案例二

·數(shù)據(jù)庫被清空

·數(shù)據(jù)庫僅能本地訪問（B/S，Web和DB同服務(wù)器）

·Web可從互聯(lián)網(wǎng)訪問

·Web日志完整且無入侵痕跡登錄后除了發(fā)現(xiàn)Web日志沒有入侵痕跡外，還發(fā)現(xiàn)其他大量日志殘留以及一個后門，通過這些線索，大概推理出一個刪庫的路徑：

·遠程控制控制服務(wù)器

·SQL控制臺添加用戶、賦權(quán)、開放數(shù)據(jù)庫遠程訪問

·出現(xiàn)一段沒有任何操作的空白時間

·遠程連接數(shù)據(jù)庫刪除數(shù)據(jù)庫乍看之下沒有章法，但沒有章法就是最大的章法，而且里面存在很多操作上的沖突，也是最大的疑問：

·遠程控制和開放遠程數(shù)據(jù)庫訪問乍看之下，存在先有遠控后有開放數(shù)據(jù)庫遠程訪問的合理順序。但實際上，Web和DB同服務(wù)器，通過Web配置文件發(fā)現(xiàn)本地操作的用戶就是sa，如果有了遠控直接從這里下手根本無需添加用戶、賦權(quán)、開放遠程訪問這么多操作

·有時間上的空白，明明已經(jīng)得手，卻要等待

·整個過程殘留痕跡多到令人發(fā)指，不只是日志沒有清除，包括數(shù)據(jù)庫中新增用戶都明晃晃的擺在那里，更不用說清除后門了

這個案例里面，實際上因為章法混亂，所以想要完全復(fù)原過程其實是比較難的。但也不是沒有辦法，畢竟日志是完整的，只要把各個操作節(jié)點和日志上的時間拼湊到一起，外加精力和體力，還是可以恢復(fù)的。但是，至此我當時沒有走回溯事件過程這條路，因為這些章法上的沖突和暴露出來的問題，已經(jīng)將嫌疑人鎖定的很清晰了：

·內(nèi)部人

·不懂開發(fā)

·不懂安全

·與服務(wù)器有物理接觸的機會

·很可能事發(fā)前后那段時間離職

最后事件的發(fā)生過程是這個“入侵者”坐在會議室里低著頭講給我們聽的。

*************************************

為什么小邏輯很容易將其標準化，而大邏輯卻沒有辦法說清楚。

回顧這兩個案例就可以發(fā)現(xiàn)，大邏輯與特定場景相關(guān)性極大，第一個案例中，至少你要清楚博彩這件事里的利益問題，而且要知道世界杯期間的博彩行情，當然，我也不知道具體價格，但我還是很明白這類價格差異有多大的，這足以幫助我進行判斷了。

而第二個案例更奇了，如果用常規(guī)標準化流程去推斷第二個案例的話，一定是處處碰壁，如果是用遠程滲透挖漏洞的套路來證明入侵途徑的話，也很有可能會遇到死路。但是，如果以人的行為去推斷的話，里面的邏輯就非常簡單了。

所以，這里才是我說的大邏輯問題。

完成一次入侵，各種奇技淫巧都是有可能出現(xiàn)并因目標不同而產(chǎn)生千萬種變化，但一定有某些技術(shù)之外、難以隨意改變的東西是能抓住的。

最后，要記得多跟受害方直接相關(guān)人多聊天、多溝通，有些時候，他們說一句比你登錄服務(wù)器查一個月還要來的有效。