溯源 案例
一、事件背景与入侵发现溯源启动某中型制造企业以下简称“目标企业”核心业务为生产制造与客户管理部署有企业官网Web服务基于Nginx搭建、客户管理系统CRM内网部署与Web服务器同网段服务器均部署在阿里云ECS未开启日志集中存储仅开启基础安全防护阿里云安全中心基础版。事件触发2025年10月28日14:30企业网管收到阿里云安全中心告警提示“Web服务器存在恶意文件上传行为”“服务器出现异常外联连接境外IP”同时市场部员工反馈官网部分页面无法正常访问后台登录页面出现异常跳转疑似被篡改。初步核实排除误报登录Web服务器Linux系统CentOS 8查看网站根目录/var/www/html发现新增3个异常文件shell.php大小2KB修改时间为10月28日13:22、test.asp伪装成静态页面实际为一句话木马、backup.sql疑似客户数据备份文件修改时间与木马一致。查看服务器进程发现不明进程“kworker32”占用CPU资源达30%且该进程关联境外IP198.18.xx.xx通过netstat命令确认该进程持续与该IP建立TCP连接端口443排除正常业务连接企业无境外业务合作。检查CRM系统登录日志发现10月28日13:40有陌生账号test123登录且该账号快速访问了客户姓名、联系方式、订单信息等核心数据该账号并非企业内部员工账号确认入侵行为真实发生且已造成数据泄露。事件定级中级安全事件影响范围Web服务器、CRM系统核心数据泄露攻击类型Web入侵木马植入数据窃取立即启动应急响应与溯源工作。二、全量证据收集溯源基础先固化后分析取证核心原则不破坏原始证据对所有日志、样本、流量数据进行哈希固化使用md5sum工具留存备份确保证据可追溯、可校验覆盖网络、主机、应用、样本四层补充辅助数据构建完整证据链。一应用层取证核心取证环节1. Web服务器日志取证Nginx日志路径/var/log/nginx/access.log使用Notepad打开日志筛选10月28日13:00-14:00的异常记录提取关键日志如下简化后198.18.xx.xx - - [28/Oct/2025:13:15:22 0800] GET /index.php?id1 union select 1,2,concat(username,password) from admin-- HTTP/1.1 200 156 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 198.18.xx.xx - - [28/Oct/2025:13:18:45 0800] POST /upload.php HTTP/1.1 200 89 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36 198.18.xx.xx - - [28/Oct/2025:13:22:10 0800] GET /shell.php?pass123456 HTTP/1.1 200 45 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36日志分析结论攻击源IP为198.18.xx.xx攻击时间从13:15开始先通过SQL注入GET请求中的union select语句尝试获取后台管理员账号密码后通过POST请求访问upload.php文件上传接口上传恶意文件shell.php最终通过访问shell.php连接木马。2. CRM系统日志取证路径/var/log/crm/login.log提取到10月28日13:40的登录记录登录IP同样为198.18.xx.xx登录账号test123登录密码为“123456”弱口令登录后执行了“导出客户数据”“查询订单信息”等操作操作记录与Web服务器木马执行时间线一致。3. 中间件与数据库日志取证查看MySQL数据库日志/var/log/mysql/error.log发现13:16-13:18期间有大量异常查询语句均来自IP 198.18.xx.xx主要用于查询admin表管理员账号密码、customer表客户数据确认攻击者通过SQL注入获取了数据库访问权限。二主机层取证进程与端口取证使用ps -ef、netstat -anp命令除发现异常进程“kworker32”外还发现该进程关联的父进程为“httpd”Web服务进程说明攻击者通过Web木马植入了恶意进程同时发现服务器开放了临时端口5555用于接收外部指令后续分析确认是木马控制端口。文件与注册表取证对新增的3个异常文件进行哈希固化计算MD5值shell.phpd41d8cd98f00b204e9800998ecf8427etest.aspe10adc3949ba59abbe56e057f20f883ebackup.sqlf3c20a889147521db4d65f37a1f09e4c留存原始文件备份查看系统文件修改记录使用stat命令确认木马文件均由198.18.xx.xx对应的Web请求上传无本地修改痕迹。账号与权限取证查看系统账号列表cat /etc/passwd发现新增账号“test”创建时间为10月28日13:30权限为普通用户但已被添加到sudo组可执行高权限命令推测攻击者意图通过该账号实现长期控制。三网络层取证1. 流量数据取证联系阿里云客服获取10月28日13:00-14:00的服务器流量镜像PCAP文件使用Wireshark工具分析发现攻击源IP 198.18.xx.xx与Web服务器之间有大量HTTP请求包含SQL注入Payload、文件上传数据与Web日志一致13:25开始Web服务器与境外IP 104.22.xx.xxC2服务器建立持续TCP连接传输数据量约50MB推测为窃取的客户数据流量中包含木马控制指令如“ls”“cat /etc/passwd”“export customer.sql”确认攻击者通过木马执行了系统操作与数据窃取。2. 防火墙与安全设备日志查看阿里云防火墙日志发现10月28日13:00-14:00期间198.18.xx.xx多次尝试访问Web服务器的80、443端口均被允许防火墙未配置SQL注入、文件上传防护规则同时发现该IP在10月27日-28日期间多次扫描企业服务器端口80、443、3306属于恶意扫描行为。四样本层取证木马分析将固化的shell.php、test.asp木马文件上传至微步在线威胁情报平台、奇安信沙箱进行分析核心分析结果如下shell.php一句话木马采用Base64加密密码为“123456”支持执行系统命令、读取文件、上传下载文件属于公开的“一句话木马工具包”可在黑客论坛免费获取test.asp伪装成静态页面实际为备用木马与shell.php功能一致用于防止主木马被删除后攻击者仍能控制服务器样本关联两个木马文件的哈希值在微步威胁情报库中命中关联多个同类型Web入侵事件均为黑产团伙批量攻击所用且关联的C2服务器均为104.22.xx.xx。五辅助数据取证1. 资产清单确认受影响资产为Web服务器公网可访问、CRM系统内网部署与Web服务器同网段核心数据为客户信息、订单数据无核心生产数据泄露2. 用户操作记录排查企业内部员工操作日志未发现员工误操作、违规操作排除内部人员作案可能3. 安全设备策略检查阿里云安全中心配置发现未开启SQL注入、文件上传防护规则日志留存时间仅7天未开启日志集中存储给取证带来一定难度后续补充了阿里云备份日志。三、攻击链还原逆向推演明确攻击路径与手法基于上述取证数据按时间线逆向推演还原攻击者完整攻击链明确每一步攻击手法、工具与目的形成清晰的攻击路径图一攻击时间线精准到分钟10月27日 15:00-18:00攻击者使用端口扫描工具推测为Nmap扫描目标企业Web服务器端口80、443、3306发现Web服务器存在SQL注入漏洞index.php?id参数、文件上传漏洞upload.php接口记录目标IP与漏洞信息10月28日 13:15:22攻击者从IP 198.18.xx.xx发起SQL注入攻击通过GET请求访问index.php利用union select语句查询admin表获取后台管理员账号admin与加密密码后续破解为“admin123”10月28日 13:18:45攻击者使用获取的管理员账号登录Web后台利用upload.php接口的文件上传漏洞绕过后台文件类型校验将木马文件后缀改为.php伪装成正常脚本上传shell.php、test.asp两个木马文件10月28日 13:22:10攻击者访问shell.php输入密码“123456”连接木马获得Web服务器控制权执行系统命令10月28日 13:30:00攻击者通过木马创建系统账号“test”添加到sudo组实现长期控制同时启动恶意进程“kworker32”建立与C2服务器104.22.xx.xx的连接10月28日 13:40:00攻击者通过木马访问内网CRM系统尝试弱口令登录使用账号test123、密码123456成功登录开始导出客户数据10月28日 13:50:00-14:20:00攻击者将导出的客户数据backup.sql通过C2服务器传输至境外完成数据窃取10月28日 14:30:00阿里云安全中心触发告警企业发现入侵事件攻击暂时停止。二攻击路径还原攻击者完整攻击路径攻击者本地设备 → 境外代理服务器198.18.xx.xx → 目标企业Web服务器公网 → 内网CRM系统 → C2服务器104.22.xx.xx境外三攻击手法与工具识别攻击工具端口扫描工具Nmap、SQL注入工具SQLMap、文件上传工具Burp Suite、一句话木马工具包、弱口令字典攻击手法端口扫描→SQL注入漏洞利用→获取后台权限→文件上传漏洞利用→植入木马→获取服务器控制权→创建后门账号→内网横向移动弱口令登录CRM→数据窃取→数据外发战术匹配MITRE ATTCK侦察端口扫描、初始访问SQL注入、文件上传、执行木马执行、权限提升创建sudo账号、横向移动内网弱口令登录、数据窃取导出客户数据、命令与控制C2服务器连接。四、源头定位与归因核心目标穿透跳板找真实源头溯源核心难点攻击者使用境外代理服务器作为跳板隐藏真实IP需通过多维度溯源、威胁情报联动、上游机构协作穿透跳板定位真实攻击源与攻击主体。一第一步跳板IP溯源198.18.xx.xx1. 基础定位通过IP查询工具IP2Location、微步在线查询该IP结果显示归属地为美国加利福尼亚州洛杉矶运营商为某境外虚拟主机服务商用途为VPN/代理服务器支持匿名访问无明确个人或企业信息2. 深度分析结合流量镜像与安全设备日志发现该IP在攻击目标企业前后还攻击了国内3家同行业制造企业通过微步威胁情报联动确认攻击手法、木马样本与本次事件完全一致说明该IP为黑产团伙常用跳板并非攻击者真实IP3. 跳板穿透联系该境外虚拟主机服务商通过WHOIS查询获取联系方式提交应急响应申请要求提供该代理服务器的登录日志、流量回溯数据同时向阿里云安全团队求助通过阿里云全球流量节点回溯该代理服务器的接入源头。二第二步C2服务器溯源104.22.xx.xx1. 基础信息查询通过WHOIS查询该IP归属地为加拿大服务器托管商为某小型网络服务商域名注册信息隐藏使用隐私保护服务无法直接获取注册人信息2. 威胁情报联动将该C2服务器IP上传至微步在线、奇安信威胁情报平台发现该IP关联多个黑产团伙活动主要从事Web入侵、数据窃取、黑页挂马等非法活动关联的木马样本超过50个均为公开工具包改造3. 样本关联通过木马样本的哈希值、代码特征匹配到该C2服务器控制的其他受害主机发现其中1台受害主机位于国内某城市且该主机的攻击源IP为国内IP117.xx.xx.xx与本次事件的跳板IP存在关联同一时间段登录过该代理服务器。三第三步真实攻击源定位1. 国内IP溯源117.xx.xx.xx查询该IP归属地为国内某省某市XX省XX市运营商为中国电信属于个人宽带用户IP地址为动态IP每日自动更换2. 上游协作向中国电信提交应急响应申请提供该IP的攻击时间、攻击行为证据要求查询该IP在10月27日-28日期间的登录信息宽带账号、开户人信息3. 最终确认通过中国电信反馈的信息该动态IP对应的宽带账号开户人为张某男25岁XX省XX市人开户时间为2024年3月结合微步威胁情报平台关联的信息张某曾在多个黑客论坛发布Web入侵教程、出售窃取的数据确认其为本次攻击的真实攻击者属于个人黑产从业者长期从事批量Web入侵、数据窃取牟利活动。四归因结论攻击主体个人黑产从业者张某无组织背景长期从事Web入侵、数据窃取牟利攻击动机获取客户数据用于出售给第三方如营销公司、其他黑产团伙谋取非法利益攻击源头XX省XX市个人宽带用户动态IP117.xx.xx.xx攻击路径张某本地设备 → 美国境外代理服务器198.18.xx.xx → 目标企业Web服务器 → 内网CRM系统 → 加拿大C2服务器104.22.xx.xx攻击工具公开漏洞扫描与利用工具无定制化工具属于批量自动化攻击。五、处置闭环与防御加固避免再次被攻击溯源的最终目的是解决问题、防范后续攻击结合本次事件的漏洞与攻击手法制定针对性处置与加固方案形成闭环。一应急处置立即执行隔离受感染资产将Web服务器、CRM系统从内网隔离暂停对外服务防止攻击者继续横向移动、窃取数据清除恶意内容删除所有木马文件shell.php、test.asp、异常进程kworker32删除新增账号“test”重置所有系统账号、Web后台账号、CRM账号密码设置强密码包含字母、数字、特殊符号长度≥12位阻断恶意连接在阿里云防火墙、企业内网防火墙中封堵攻击源IP198.18.xx.xx、C2服务器IP104.22.xx.xx、国内真实攻击IP段117.xx.xx.0/24禁止境外IP访问内网CRM系统恢复数据与业务使用备份数据恢复被篡改的官网页面、被窃取的客户数据检查数据完整性确认无恶意残留后解除资产隔离恢复Web服务、CRM系统正常运行。二防御加固长期执行漏洞修复修补Web服务器的SQL注入漏洞过滤index.php?id参数的特殊字符、文件上传漏洞限制上传文件类型、后缀对上传文件进行病毒扫描定期对Web系统、CRM系统进行漏洞扫描使用Nessus、AWVS工具每月至少1次及时修复高危漏洞日志与监控优化开启日志集中存储部署ELK日志分析系统日志留存时间延长至90天开启日志审计功能升级阿里云安全中心至企业版开启SQL注入、文件上传、恶意进程、异常外联等告警规则设置实时告警短信邮件访问控制优化配置防火墙规则限制公网IP访问服务器的3306、5555等非必要端口内网与公网隔离CRM系统仅允许内网指定IP访问开启访问权限控制最小权限原则终端与账号安全所有服务器开启EDR终端防护防止木马植入定期更换系统账号、应用账号密码禁止使用弱口令开启账号登录异常告警如异地登录、多次登录失败安全培训对企业员工开展网络安全培训重点讲解弱口令危害、钓鱼邮件识别、违规操作后果提升员工安全意识定期开展应急演练提升应对安全事件的能力。三后续跟进1. 证据留存与上报整理所有取证数据、攻击链还原报告、处置记录形成完整的溯源报告上报企业管理层与当地网络安全监管部门2. 案件报案向当地公安机关网安部门报案提交攻击者信息、攻击证据、数据泄露证明协助公安机关追查张某的非法行为追究其法律责任3. 长期监控持续监控服务器的进程、网络连接、日志定期扫描漏洞关注威胁情报平台中关联的木马、IP信息防止攻击者再次攻击。六、案例总结与关键要点一案例核心亮点证据链完整覆盖应用、主机、网络、样本四层取证有日志、有流量、有样本、有威胁情报、有上游协作记录每一步溯源都有明确证据支撑贴合真实场景还原了企业最常见的Web入侵数据窃取场景包含漏洞利用、木马植入、横向移动、数据外发等典型攻击行为实操性强解决溯源难点重点展示了“跳板IP穿透”“C2服务器关联”“真实IP定位”的方法体现溯源的专业性避免只停留在表面IP溯源形成闭环不仅完成溯源还制定了处置与加固方案兼顾“溯源定位”与“防范后续”符合企业实际工作需求。二关键溯源要点实操重点取证优先先固化证据再进行分析避免破坏原始数据确保证据可校验、可追溯多源联动结合日志、流量、样本、威胁情报、上游机构运营商、云厂商、服务商协作单一数据源无法完成完整溯源时间线为王所有攻击行为按时间线串联明确每一步的先后顺序才能准确还原攻击链区分跳板与真实IP遇到境外IP、代理IP不要直接认定为攻击源头需穿透跳板结合多维度信息定位真实攻击者。三常见问题与应对日志缺失企业未开启日志集中存储、日志留存时间短导致取证困难 → 应对开启日志集中存储延长日志留存时间定期备份日志跳板穿透困难境外代理服务商不配合提供日志 → 应对借助云厂商、安全厂商的资源联动境外监管机构或通过流量回溯、样本关联找到间接证据恶意样本分析困难木马加密、免杀无法提取特征 → 应对使用专业沙箱工具、威胁情报平台结合代码反编译提取核心特征。

相关新闻

Docker如何改变应用构建与部署?从Node.js和Java的Dockerfile看统一制品的革命

Docker如何改变应用构建与部署?从Node.js和Java的Dockerfile看统一制品的革命

作为一名开发者或DevOps工程师,你一定经历过这样的场景:Java应用要打包成Jar,上传到Nexus,再到服务器上用java -jar运行Node.js应用要打包成zip,上传到服务器,再npm install安装依赖Python应用要打包成tar&…

2026/7/3 2:06:23 阅读更多 →
C++ string 类从原理到实战

C++ string 类从原理到实战

一、引言在 C 编程中,string是处理字符串的核心类,相较于 C 风格字符数组,它自动管理内存、提供丰富操作接口,极大提升了开发效率与代码安全性。本文将从深浅拷贝原理、string底层模拟实现、标准库string常用函数详解、迭代器与容…

2026/7/6 13:02:16 阅读更多 →
URL (Uniform Resource Locator) 深度全景指南

URL (Uniform Resource Locator) 深度全景指南

1. 核心概念与历史背景1.1 定义与地位URL (Uniform Resource Locator),即统一资源定位符,是 URI (Uniform Resource Identifier) 的一个子集。URI:用于唯一标识一个资源(是什么)。URL:不仅标识资源&#xf…

2026/7/5 17:04:35 阅读更多 →

最新新闻

app 短视频宝典 功能基本完成

app 短视频宝典 功能基本完成

一共100篇,可以滑动:搜索:点击后可以查看具体内容:我花费了宝贵的8个小时,从反正现在已经是晚上2点了。希望能提供参考。

2026/7/7 3:14:29 阅读更多 →
线上事故复盘:Redis幂等性设计边界没覆盖跨状态请求,订单状态机直接崩了

线上事故复盘:Redis幂等性设计边界没覆盖跨状态请求,订单状态机直接崩了

线上事故复盘:Redis幂等性设计边界没覆盖跨状态请求,订单状态机直接崩了 适合谁看:正在用Redis做幂等性设计的后端开发者,或者订单状态机频繁出问题的技术负责人。如果只关心业务逻辑可以跳过代码部分直接看思路。 事故现场&…

2026/7/7 3:12:29 阅读更多 →
Linux命令-repquota(显示磁盘配额使用报告)

Linux命令-repquota(显示磁盘配额使用报告)

Linux命令-repquota(显示磁盘配额使用报告) 快速参考基本语法安装配额工具配置磁盘配额(简明步骤)repquota 输出详解常用选项设置用户配额(使用 edquota)监控配额使用情况用户查看自己的配额关闭配额故障排…

2026/7/7 3:12:29 阅读更多 →
显存不是只看够不够:LLM 推理中的显存碎片、分配器与 KV Cache 页管理工程拆解

显存不是只看够不够:LLM 推理中的显存碎片、分配器与 KV Cache 页管理工程拆解

很多团队做 LLM Serving 时,第一反应总是模型多大、量化到几 bit、KV Cache 占多少显存、单机能扛多少并发。但线上系统真正跑起来之后,经常遇到一种更难受的问题:明明总显存看起来还够,服务却还是 OOM、吞吐抖动、TTFT 变长&…

2026/7/7 3:10:28 阅读更多 →
web/wireless/wap区别

web/wireless/wap区别

概念 三者是前端展示形态的划分, 区别体现在设备、交互方式、技术栈上。不同公司对这三个场景的边界划分是不同的WAP(Wireless Application Protocol)原本是90 年代的功能机协议(WML 标记语言),现在已演变为"移动…

2026/7/7 3:08:28 阅读更多 →
2026年实验室建设公司深度测评:全链综合方案时代,谁是最优选?

2026年实验室建设公司深度测评:全链综合方案时代,谁是最优选?

编者按 作为一名从业逾十年的实验室建设领域观察员,我始终坚持通过资质对比、技术能力分析与项目案例研究,为行业同仁甄选值得信赖的工程服务伙伴。近五年来,实验室建设已从“单一装修施工”向“复杂系统集成”转型。随着生物安全法规趋严、智…

2026/7/7 3:06:28 阅读更多 →

日新闻

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

图片浏览是移动应用中最高频的场景之一。从社交应用的照片流到电商平台的商品图集,从旅游应用的景点相册到摄影作品展示——用户对图片浏览的体验要求不断提高:流畅的切换动画、直观的缩略图导航、便捷的收藏操作、自动播放模式。HarmonyOS NEXT ArkUI 虽…

2026/7/7 0:05:16 阅读更多 →
24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V稳压芯片完整选型指南 PW8600 PW75XX PW2815 PW2312B LDODC/DC全方案 一、24V稳压方案概述 24V直流电源在工业自动化、门禁系统、电梯控制、汽车电子、LED驱动、监控设备等场景中应用极广,是最常见的中压直流母线电压。要将24V母线稳定降压至下游MCU、传感器…

2026/7/7 0:05:16 阅读更多 →
RAG+知识图谱混合检索与Graph RAG核心对比

RAG+知识图谱混合检索与Graph RAG核心对比

做企业RAG落地的团队,往往容易卡在一容易踩坑的选型难题: 当需求单纯靠向量RAG搞不定、单纯靠知识图谱也搞不定,必须同时依赖「文本语义理解 实体关系推理」时,到底是做「向量图谱混合检索」就够了,还是必须上「Grap…

2026/7/7 0:07:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/6 8:11:50 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/6 8:11:52 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/6 6:52:56 阅读更多 →

月新闻