全网时时刻刻都在被扫描

SpaceX

随意搭建的一个测试站点，挂了WAF

今天一看有很多阻断信息，写着

a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: [email protected]

翻译就是

Palo Alto Networks是一家公司，每天在全球IPv4空间中进行多次搜索，以识别客户在互联网上的存在。如果您希望从我们的扫描中排除，请将IP地址/域名发送到：[email protected]。

龟龟酱

不止PA 很多做NG FireWall/NGAV的都在24小时扫所有ip
他们的目的是扫出来一些C&C的服务器 例如Cobaltstrike/Meterpreter然后提前拉黑
如果你真的装一个Cobaltstrike TeamServer到服务器
你就会发现即使你没有生成任何的远控 你的服务器ip也会在一天内被至少5家NG FireWall/NGAV拉黑

dummy

这么一说 互联网还是蛮危险的

singularity

正常情况

gger

这么厉害啊

Phyton

龟龟酱 发表于 2023-11-30 13:39
是的，但是再好的伪装也就只能伪装到你生成木马的时候
而且正版的话，通常访问端口就能直接得到Cobaltstr ...

有意思。我觉得防火墙采取白名单模式应该就扫不出来了，需要干活儿时再开放防火墙。

龟龟酱

Phyton 发表于 2023-11-30 13:35
Cobaltstrike TeamServer的特征这么明显吗？好歹也是个成熟的商业软件了，再加上使用者的特殊性，应该会 ...

是的，但是再好的伪装也就只能伪装到你生成木马的时候
而且正版的话，通常访问端口就能直接得到Cobaltstrike Watermark来判断这是TeamServer
反而一些破解版能改掉特征不会瞬间被扫出来
生成木马之后就怎么都藏不住了
https://tria.ge/231129-scw6yahc2x
你看自动机能跑出来多少信息

Phyton

龟龟酱 发表于 2023-11-30 13:27
不止PA 很多做NG FireWall/NGAV的都在24小时扫所有ip
他们的目的是扫出来一些C&C的服务器 例如Cobaltstrike ...

Cobaltstrike TeamServer的特征这么明显吗？好歹也是个成熟的商业软件了，再加上使用者的特殊性，应该会伪装一下吧。

K7SU

...............................

gamerock

MD我的一个香港的服务器，3389端口，被扫得账户被禁了，
登陆不上去了！