flyzy博客
随意搭建的一个测试站点,挂了WAF
今天一看有很多阻断信息,写着
翻译就是
河南省网友说:不止PA 很多做NG FireWall/NGAV的都在24小时扫所有ip
他们的目的是扫出来一些C&C的服务器 例如Cobaltstrike/Meterpreter然后提前拉黑
如果你真的装一个Cobaltstrike TeamServer到服务器
你就会发现即使你没有生成任何的远控 你的服务器ip也会在一天内被至少5家NG FireWall/NGAV拉黑
青海省网友说:
辽宁省网友说:pa是世界顶级防火墙供应商,魔力象限 防火墙领域是领导者地位
湖南省网友说:一大堆,包括 字节跳动,华为花瓣,AWS 一大堆蜘蛛
甘肃省网友说:互联网的噪声,你给22端口开放一下,每天都有不少不请自来的爆破
黑龙江省网友说:密码设成root,抽奖给别人
安徽省网友说:整个jail-shell
甘肃省网友说:MD我的一个香港的服务器,3389端口,被扫得账户被禁了,
登陆不上去了!
辽宁省网友说:………………………….
广东省网友说:Cobaltstrike TeamServer的特征这么明显吗?好歹也是个成熟的商业软件了,再加上使用者的特殊性,应该会伪装一下吧。
海南省网友说:是的,但是再好的伪装也就只能伪装到你生成木马的时候
而且正版的话,通常访问端口就能直接得到Cobaltstrike Watermark来判断这是TeamServer
反而一些破解版能改掉特征不会瞬间被扫出来
生成木马之后就怎么都藏不住了
https://tria.ge/231129-scw6yahc2x
你看自动机能跑出来多少信息
湖南省网友说:有意思。我觉得防火墙采取白名单模式应该就扫不出来了,需要干活儿时再开放防火墙。
