目录
事件背景:
整体处理流程:
事件背景:网络通信通知公司存在对外数据库暴力解读
整体处理过程:第一天下班。 老板接到通知,请一群同事处理。 淡淡地喝茶。
第二天上午:老板需要案件紧急处理,上午让同事们处理。 我刚收到数据库日志文件。
第二天下午:同事年轻人进展不大,要去蚂蚁那里做点什么攻防训练。
淡淡地喝茶不行,开始工作。
事件性质确认:公司IP对外网数据库链接存在暴力解读
唯一来源: 防火墙日志(5万多条数据)。
整理和处理信息源:
1 .源IP日志记录次数1000次以上的IP地址统计
2 .攻击源IP日志记录次数1000次以上的IP地址统计
3、查了源IP地址,发现第一个IP地址中记录有跨国链路地址。
4 .查阅该记录的具体细节,发现该记录有上千次以上的要求。
终端详细信息:未知类型DNS:源端口:20015服务端口:36654应用类别:MariaDB应用规则:MariaDB[1]分钟连接数: 4528
5 .进一步确认这台机器的使用者
6 .确认机器的TOP流程,发现是通过各云的健康检查。 如果在代码中链接到数据库失败,则会多次尝试链接。 同时写数据库的时候,一次写一次数据库。
7 .重申这项自动化体检的发布日期。 正好和网信提供的日子相符。
8 .查看其他千条以上记录的IP地址,确保全部为正常链接。
9 .下午3点左右,故障排除结束,工作结束。
总结:日志分析统计在整个过程中很重要,用眼神去挖掘数万条数据,很费时间。