您的位置:首页 > 新闻资讯 >文章内容
如何定位使用代理IP的攻击者?
来源:互联网 作者:admin 时间:2019-09-27 10:29:36

  现在代理IP的服务提供商网上都能够很方便的找到,在带来方便的同时,其实也带来了安全的隐患。因为如果有人通过代理IP隐藏真实IP去进行网络攻击或者侵入其他电脑,那么IP的追查就变得有难度了。


如何定位使用代理IP的攻击者


  有些网站访问日志,由于设置了代理转发,只记录了代理服务器的IP,并没有记录访问者IP,这时候,如何去识别不同的访问者和攻击源呢?


  这时候可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。


  下面我们通过一个案例来看看具体操作,案例详情:通过nginx代理转发到内网某服务器,内网服务器某站点目录下被上传了多个图片木马。


  1、定位攻击源


  首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时候,可以利用浏览器指纹来定位。

  

如何定位使用代理IP的攻击者

  浏览器指纹:Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)


  2、搜索相关日志记录


  通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径。


  [root@centoshost tmp]# more u_ex180408.log |grep "Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)" |grep 200


  #攻击者访问首页和登录页


  2018-04-08 04:30:33 10.1.3.100 GET /Default.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 109

  2018-04-08 04:30:42 10.1.3.100 GET /login.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 46

  2018-04-08 04:30:44 10.1.3.100 GET /Default.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 62


  #攻击者访问MsgSjlb.aspx和MsgSebd.aspx


  2018-04-08 04:30:48 10.1.3.100 GET /MsgSjlb.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 46

  2018-04-08 04:30:49 10.1.3.100 GET /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 46

  2018-04-08 04:30:50 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 46


  #攻击者访问Xzuser.aspx


  2018-04-08 04:30:50 10.1.3.100 GET /XzUser.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 171

  2018-04-08 04:31:01 10.1.3.100 POST /XzUser.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 93


  #攻击者多次POST,怀疑通过这个页面进行上传操作


  2018-04-08 04:31:12 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 296

  2018-04-08 04:31:15 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 109

  2018-04-08 04:31:22 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 62

  2018-04-08 04:31:26 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 109

  2018-04-08 04:31:28 10.1.3.100 POST /MsgSend.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 187

  2018-04-08 04:31:29 10.1.3.100 GET /MsgLb.aspx - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 62

  2018-04-08 04:31:31 10.1.3.100 GET /MsgXq.aspx Id=BC8B715894AF21A0&MsgId=66D2E8FC90CA64F130B13FAC53F1A782 815 - 111.8.88.91 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E) 200 0 0 109


  #攻击者访问了图片木马


  2018-04-08 04:31:42 10.1.3.100 GET /Up/dj/2012.asp;.jpg - 815 - 111.8.88.91 Mozilla/4.0+(compatible;+M


  从上方的案例,我们可以看到通过浏览器指纹我们能够成功还原了攻击路径,这样就能够找到我们的攻击者IP了。


相关文章内容简介
推荐阅读
  • 06 2020-07
    代理ip的需求十分庞大

    大家都说这是一个网络的新时代,自从网络在人们的工作、生活上广泛应用之后,我们与网络的连接就已经无时无刻建立起来了。

  • 28 2019-08
    代理IP存在哪些误区?

    明明我使用了代理IP,可是为什么别人还是能够查到我的IP地址呢?用了代理IP为什么爬虫还是会被封?相信有许多人都会遇到这种情况,其实这是对IP代理的误解,以为用了就能够一劳永逸,什么

  • 15 2019-06
    代理ip质量好坏的影响

    代理ip质量好坏的影响,大家有没有体会?如今在个网络时代,为了突破一些平台的某些限制,使用代理ip也是非常的正常,不过代理ip质量有差别的,这对项目有什么影响呢?

  • 09 2019-08
    爬虫代理是采集数据不可或缺工具

    爬虫代理是采集数据不可或缺工具!因为如今大数据时代,数据的信息的重要性已经涉及到很多的方面。爬虫也因此应运而生,成为了很火的一种技术。现在从事爬虫技术工作的人很多,很多的

  • 05 2019-06
    HTTP代理ip和socks5代理ip可以混用吗

    HTTP代理ip和socks5代理ip可以混用吗?有些朋友分不清什么是HTTP代理ip,什么是socks5代理ip,经常将两者搞混,结果买错了产品,甚至有的客户想将错就错,问我HTTP代理ip能不能当成socks5代理ip用,

  • 23 2020-10
    寻找到优质代理ip不容易

    代理IP服务商多如牛毛,代理IP的套餐种类也是五花八门,很多人都想买到好的代理IP资源,却又不知道如何选择。今天我们一起来讨论下什么样的代理IP资源才是好的代理IP资源。

在线咨询
大客户经理
大客户经理
1829380381
13316264505

大客户经理微信

微信公众号

微信公众号

回到顶部