chene_yen wrote:
問題在於,我自己也會去查對方可能動了甚麼,進而去推敲"損失範圍"
現在我在推敲遠通的損失範圍,我也是就帳面資訊來分析,難道您不是這樣分析?
目前所有資訊看來,任何動作都是透過網頁來做,apache的log隨便grep分析一下,就大概可以猜到攻擊者下了哪些可能的指令
假設遠通這台主機根本就沒開ssh服務,甚至外層防火牆也把ssh給擋了,難道MIS要優先去查有沒有ssh登入紀錄?
整個東西的線頭就是網頁服務,由網頁服務周邊去開枝散葉,才可縮短除錯時間不是?
...(恕刪)
有幾個盲點
1. apache log 是真實的 log, 還是 hacker 想要讓你看的 log ?
除非這 log 是擺在遠端, 而且控管所有 port, 除非使用 console 才能 login,
不然我不認為這 log 是可信的
駭客守則第一條就是抹除行蹤
2. 跟 ssh 不見得有關係, 要執行程式碼, 未必要經過 shell
CPU 只要 IP 指到我想讓他跑的地方, 他就跑起來了.
這段 code, 可能還是透過資料型態由 port 443 傳給他的咧
請 google "stack overflow"
3. 因為你前面的假設都不成立, 所以錯誤的數據會導致錯誤的結論
內文搜尋
從 APP 打開
X