目录
事件背景:
整体处理过程:
事件背景:
网信办通知公司存在对外数据库暴力破解
整体处理过程:
第一天快下班:老大接到通知,让同事小伙们去处理。我淡定的喝茶。。。。
第二天上午:老大需要事件紧急处理,上午让小同事们处理。我刚收到数据库日志文件。
第二天下午:同事小伙们没啥进展,同时要去阿里那边做什么攻防培训。
淡定喝茶不行了,开工。
事件性质确认:公司IP对外网数据库链接存在暴力破解
唯一信息源: × × ×防火墙日志(5万多条数据)。
信息源梳理和处理:
1. 源IP日志记录次数 > 1000次以上的IP地址统计
2. 攻击源IP日志记录次数 > 1000次以上的IP地址统计
3, 源IP地址排查,发现第一个IP地址存在跨国链接地址记录下来。
4. 查看该记录的具体详情,发现该条记录存在上千次以上的请求。
终端详情 : 未知类型 DNS : 源端口 : 20015 服务端口 : 36654 应用类别 : MariaDB 应用规则 : MariaDB[1] 每分钟连接数 : 4528 协议 : TCP mac : decrypt : 0
5. 进一步确认这台机器的使用者.
6. 确认机器TOP进程,发现是各云端健康检测引起的。代码里面针对数据库链接失败会多次尝试链接。同时写数据库的时候,写一次连一次数据库。
7. 再次确认该自动化健康检测的发布日期,刚好跟网信提供的日期对上。
8. 排查其他千次记录以上的IP地址,确定都是正常链接。
9. 下午三点左右,排查结束,收工。
总结:日志分析统计在整个过程中很重要,几万条数据靠眼力一个一个去发掘的话,会花费很多时间。
