4、网络安全事件调查与攻击者剖析

网络安全事件调查与攻击者剖析

1. 网络安全事件初现端倪

在对与SCCS存在信任关系的部分系统进行检查时，发现了一些令人担忧的活动。对与SCCS相关的部分系统进行随机扫描后，发现Dalmedica的一名管理员用于通过安全外壳协议（SSH）连接到SCCS和其他服务器的Windows系统，已被一个特洛伊后门程序入侵。此外，几个相关的UNIX系统上的.rhosts文件也被更新，添加了特定的主机和用户名，如下所示：
- devsys.dalmedica.com
- root
- devsys.dalmedica.com
- bschien（一名前开发人员）
- crimson.dalmedica.com
- cvs

同时，位于公司局域网（LAN）上的基于网络的入侵检测系统（IDS）的日志和警报显示，在过去几周内，多个局域网系统出现了异常活动。安装在互联网非军事区（DMZ）的IDS也在同一时期因常见网关接口（CGI）脚本错误和尝试提权攻击而触发警报，具体信息如下：

[**] [1:1122:1] WEB - MISC [**]
[Classification: Attempted Privilege Escalation] 
[Priority: 2]
11/05 - 23:01:09.761942 208.198.23.2:1438 -> 204.70.10.229:80
TCP TTL:128 TOS:0x0 ID:10349 IpLen:20 DgmLen:314 DF
***AP*** Seq: 0x2277A4B3 Ack: 0xED9E771D