国内女人喷潮完整视频,国产边打电话边被躁视频,色妞www精品免费视频,在线成人看片黄a免费看

原創(chuàng) 2016-10-07 Python Piz0n

------------------------------------

一般入侵者的流程是這樣的：
   
    簡單說，入侵者最終留下的攻擊是一條線（無論是在動(dòng)作還是在時(shí)間上）。當(dāng)然，其中會(huì)有很多嘗試的過程，每次嘗試都會(huì)留下痕跡（如果不清除的話），然后在這些嘗試中選擇最好的一個(gè)點(diǎn)繼續(xù)走下去，走完這條線。

所以，按照理想的狀態(tài)下，分析者得到的結(jié)果應(yīng)該是這樣的：

也就是說，把那些入侵者的所有痕跡都找到并聯(lián)系在一起，同時(shí)將試錯(cuò)排除掉，最終得到的就是一條清晰的入侵路徑，這條路徑就清晰的說明了怎么來的、從哪兒來的、到哪兒去了 等等。

不過，一般我們看到的分析結(jié)果都是這樣的：

    我見過很多入侵分析報(bào)告，里面給出了非常具體的一些點(diǎn)，比如：后門在哪里、怎么清除后門、漏洞在哪里、怎么修補(bǔ)漏洞。更見過很多套路是這樣的，入侵分析上來不找證據(jù)不跟用戶聊背景，而是先做一次滲透測試，把滲透測試的結(jié)果當(dāng)作入侵者的攻擊漏洞來放到最終的報(bào)告里說事兒。我完全看不懂其中的邏輯所在。

針對入侵事件的分析在于，將事件本身的起點(diǎn)、過程和終點(diǎn)通過證據(jù)鏈接到一起來回溯整個(gè)事件，這些與目標(biāo)存在什么樣的漏洞、缺陷本質(zhì)上相關(guān)性并不大。

在入侵分析中，有很多標(biāo)準(zhǔn)化的檢查流程，但我認(rèn)為，標(biāo)準(zhǔn)檢查流程只能應(yīng)對標(biāo)準(zhǔn)hacking流程 —— 也就是說，正好對方是看教程出來的，而你也是拿著教程跟他對抗的 —— 你倆加起來就是一本教科書。

而對于有些技術(shù)基礎(chǔ)的入侵者所實(shí)施的稍復(fù)雜的入侵，就只能說，大邏輯勝過小邏輯：

大邏輯是入侵者的意圖、技術(shù)思路、并且結(jié)合目標(biāo)特性而產(chǎn)生的一些其他東西。

而小邏輯就是很多標(biāo)準(zhǔn)流程里所描述的那樣 —— 入侵者應(yīng)該先外部采集、再掃描、再利用 ……

如果不能突破對大邏輯和小邏輯這兩個(gè)區(qū)別的認(rèn)知，一旦遇到稍復(fù)雜的入侵，就很難完整回溯整個(gè)事件。

*************************************

下面看兩個(gè)案例說一下邏輯問題。

*************************************

案例一

·世界杯期間，被掛與世界杯無關(guān)的博彩

·被掛服務(wù)器只是全國幾百臺服務(wù)器中的一個(gè)

·被掛的服務(wù)器與其他服務(wù)器的后臺用的系統(tǒng)為同一套系統(tǒng)

當(dāng)然，處理博彩的案例相信很多人都有經(jīng)驗(yàn)，甚至應(yīng)該很多人比我更熟悉博彩那套自動(dòng)掛頁面的玩意。

但這里說的是一個(gè)利益邏輯問題 —— 明明可以掛世界杯，為什么還要掛傳統(tǒng)的那些玩意；明明可以掛全國，為什么只掛了一個(gè)。

當(dāng)然我們可以假設(shè)，這群家伙是為了低調(diào)奮進(jìn)謀發(fā)展，但利益面前一比對這話就扯的有點(diǎn)不堪一擊了。

所以看到這些條件的時(shí)候，我給出的基本判斷就是 —— 這次被入侵者拿下的服務(wù)器，一定就簡單的好像白撿的一樣，才會(huì)這么不珍惜。

所以綜合這些因素來看，有幾個(gè)猜想點(diǎn)：可能用了簡單的弱口令或已知漏洞，可能是自動(dòng)化行為，可能利用了某些不在備案之中的服務(wù)器。

從后期溝通發(fā)現(xiàn)，已知漏洞概率比較?。ň唧w原因不說了，反正不是沒概率，只是相對來說概率較低）。所以轉(zhuǎn)向清查資產(chǎn)和弱口令。

最終結(jié)果就是，一臺沒有在案的服務(wù)器，有個(gè)弱口令。而且有證據(jù)表明，入侵者從掃描到入侵甚至到后期發(fā)布頁面，整個(gè)流程的自動(dòng)化程度非常之高。

這里的大邏輯在于，通過利益和表現(xiàn)出來的結(jié)果進(jìn)行分析，入侵者方是以薄利多銷、多快好省為基本原則，這樣的話，一定是最快、最簡單的快速完成一次入侵和控制，而不是費(fèi)時(shí)費(fèi)力的上人、上設(shè)備、上資源。因此才有了上面的一些判斷。

而傳統(tǒng)的小邏輯（標(biāo)準(zhǔn)流程）其實(shí)也不是不成立，但一定是很難在其中發(fā)揮功效的。否則那些現(xiàn)場排查的人們，也不會(huì)毫無發(fā)現(xiàn)。

*************************************

案例二

·數(shù)據(jù)庫被清空

·數(shù)據(jù)庫僅能本地訪問（B/S，Web和DB同服務(wù)器）

·Web可從互聯(lián)網(wǎng)訪問

·Web日志完整且無入侵痕跡登錄后除了發(fā)現(xiàn)Web日志沒有入侵痕跡外，還發(fā)現(xiàn)其他大量日志殘留以及一個(gè)后門，通過這些線索，大概推理出一個(gè)刪庫的路徑：

·遠(yuǎn)程控制控制服務(wù)器

·SQL控制臺添加用戶、賦權(quán)、開放數(shù)據(jù)庫遠(yuǎn)程訪問

·出現(xiàn)一段沒有任何操作的空白時(shí)間

·遠(yuǎn)程連接數(shù)據(jù)庫刪除數(shù)據(jù)庫乍看之下沒有章法，但沒有章法就是最大的章法，而且里面存在很多操作上的沖突，也是最大的疑問：

·遠(yuǎn)程控制和開放遠(yuǎn)程數(shù)據(jù)庫訪問乍看之下，存在先有遠(yuǎn)控后有開放數(shù)據(jù)庫遠(yuǎn)程訪問的合理順序。但實(shí)際上，Web和DB同服務(wù)器，通過Web配置文件發(fā)現(xiàn)本地操作的用戶就是sa，如果有了遠(yuǎn)控直接從這里下手根本無需添加用戶、賦權(quán)、開放遠(yuǎn)程訪問這么多操作

·有時(shí)間上的空白，明明已經(jīng)得手，卻要等待

·整個(gè)過程殘留痕跡多到令人發(fā)指，不只是日志沒有清除，包括數(shù)據(jù)庫中新增用戶都明晃晃的擺在那里，更不用說清除后門了

這個(gè)案例里面，實(shí)際上因?yàn)檎路ɑ靵y，所以想要完全復(fù)原過程其實(shí)是比較難的。但也不是沒有辦法，畢竟日志是完整的，只要把各個(gè)操作節(jié)點(diǎn)和日志上的時(shí)間拼湊到一起，外加精力和體力，還是可以恢復(fù)的。但是，至此我當(dāng)時(shí)沒有走回溯事件過程這條路，因?yàn)檫@些章法上的沖突和暴露出來的問題，已經(jīng)將嫌疑人鎖定的很清晰了：

·內(nèi)部人

·不懂開發(fā)

·不懂安全

·與服務(wù)器有物理接觸的機(jī)會(huì)

·很可能事發(fā)前后那段時(shí)間離職

最后事件的發(fā)生過程是這個(gè)“入侵者”坐在會(huì)議室里低著頭講給我們聽的。

*************************************

為什么小邏輯很容易將其標(biāo)準(zhǔn)化，而大邏輯卻沒有辦法說清楚。

回顧這兩個(gè)案例就可以發(fā)現(xiàn)，大邏輯與特定場景相關(guān)性極大，第一個(gè)案例中，至少你要清楚博彩這件事里的利益問題，而且要知道世界杯期間的博彩行情，當(dāng)然，我也不知道具體價(jià)格，但我還是很明白這類價(jià)格差異有多大的，這足以幫助我進(jìn)行判斷了。

而第二個(gè)案例更奇了，如果用常規(guī)標(biāo)準(zhǔn)化流程去推斷第二個(gè)案例的話，一定是處處碰壁，如果是用遠(yuǎn)程滲透挖漏洞的套路來證明入侵途徑的話，也很有可能會(huì)遇到死路。但是，如果以人的行為去推斷的話，里面的邏輯就非常簡單了。

所以，這里才是我說的大邏輯問題。

完成一次入侵，各種奇技淫巧都是有可能出現(xiàn)并因目標(biāo)不同而產(chǎn)生千萬種變化，但一定有某些技術(shù)之外、難以隨意改變的東西是能抓住的。

最后，要記得多跟受害方直接相關(guān)人多聊天、多溝通，有些時(shí)候，他們說一句比你登錄服務(wù)器查一個(gè)月還要來的有效。