老程序员博客

编程生涯的最后一舞

当前位置:首页 > 技术 > 正文内容

医院网络事件应急处理指南

访客 技术 2026年6月3日 1

应急加固-医院数据泄露应急处置

系统登录凭证:admin/Zhoudi666

首次发起扫描的源地址为

正常TCP连接三次握手数据包特征:

SYN标志位=1;ACK标志位=0


SYN标志位=1;ACK标志位=1


SYN标志位=0;ACK标志位=1

扫描行为特征: 采用半开放扫描方式,产生大量SYN数据包。

SYN标志位=1;ACK标志位=0

大量SYN数据包可能暗示网络攻击(如端口扫描、SYN洪水攻击)

tcp.flags.syn == 1 && tcp.flags.ack == 0

flag{192.168.37.3}

通过日志分析定位高频扫描源IP

使用日志分析系统

统计(http.status_code, client_ip) | http.status_code >= 404 | 排序-降序

筛选HTTP协议流量,按状态码和客户端IP分组统计;过滤出404及以上状态码数据;按数量降序排列。

最高频IP为192.168.27.3

flag{192.168.27.3}

定位次高频扫描源IP

flag{192.168.37.1}

识别使用AWVS扫描工具的IP

AWVS流量特征:

1.URL包含acunetix_test标识
2.请求头含acunetix/wvs标识
3.User-Agent含acunetix标识
4.请求体含acunetix test标识
5.URL重复acunetix_test标识
6.请求头重复acunetix/wvs标识
7.请求体重复acunetix test标识

共同特征为"acunetix"

http contains "acunetix"

过滤包含"acunetix"的数据流

发现所有记录均来自192.168.37.1

flag{192.168.37.1}

定位执行混合扫描的IP并提交扫描次数(以wireshark统计为准)

已分析192.168.37.3、192.168.37.1,剩余192.168.37.100待分析

检测到GET请求包含大量恶意负载,确认该IP执行混合扫描

源IP:192.168.37.100 目标IP:192.168.37.2

ip.src == 192.168.37.100 && ip.dst == 192.168.37.2

flag{4812}

定位执行Web登录暴力破解的IP

登录接口通常为login

http.method == "POST" && http contains "login.php"

发现192.168.37.87持续向login.php发送POST请求,包含多个账号密码组合。

flag{192.168.37.87}

提交暴力破解尝试次数

选中

flag{106}

检测数据库异常注册行为并提交源IP

使用日志分析工具过滤:

服务类型 == "HTTP" 
| 请求方法 == "POST" 
| 请求路径 == "/register.php" 
| 统计(client_ip, method, uri) 
| 排序-降序

通常注册接口为"register",使用POST方法提交。

http.method == "POST" && http contains "register.php"

发现192.168.37.177在register.php的POST请求最多;每个请求包含不同用户名密码组合。

flag{192.168.37.177}

提交成功注册数量

根据数据包时间,查询4月30日新增注册用户

共计58个

flag{58}

提交攻击者成功登录admin的IP及密码,用&连接

登录成功对应302状态码

http.method == "POST" && http contains "login.php"

flag{admin&zhoudi123}

检测数据库泄露漏洞点

数据泄露常见手段为SQL注入攻击。

注入成功返回状态码200

http contains "SELECT" && http.method == "POST" && http contains "username"

常见注入关键词:SELECT UNION OR AND 等。大小写敏感,需全量测试。

POST请求更易隐藏,优先排查此类流量。

注入点常见于登录表单或搜索框,参数变量多为username

检测到服务器返回200状态码,注入成功。

flag{settings.php}

统计攻击者获取的患者信息数量

数据量庞大,可通过流量长度排序分析。

http.uri contains "settings.php" && http.response

过滤响应包;定位漏洞文件进行分析。

uri用于路径匹配,后接contains表示包含指定文件。

按长度排序,首条数据可疑

显示UTF-8格式,在响应包中发现大量人员信息泄露

导出至TXT,发现信息以逗号分隔

12000个逗号对应12001个用户

flag{12001}

标签: 网络安全端口扫描SQL注入
返回列表

上一篇:SuperSocket 2.0 客户端通信实现

下一篇:Vue实例与组件核心配置选项详解

相关文章

Linux crontab 详解

1) crontab 是什么cron 是 Linux 的定时任务守护进程;crontab 是用来编辑/查看“按时间周期执行命令”的表(cron table)。常见两类:用户 crontab:每个用户一份(crontab -e 编辑)系统级 crontab / cron.d:可指定执行用户(/etc/crontab、/etc/cron.d/*)2) crontab 时间...

富文本里可以允许的 HTML 属性

一、所有标签默认允许的安全属性(极少)class        (可选)id           (通常建议禁用)title️ 注意:id 容易被滥用做锚点注入,很多系统直接禁用class 允许的话最好只允许固定前缀(如 editor-*)二、a 标签允许属性<a href="" t...

Mac 安装 Node.js 指南

方法一:通过官网安装包(最简单,适合初学者)如果你只是想快速安装并开始使用,这是最直接的方法。访问 Node.js 官网。页面会显示两个版本:LTS (Recommended For Most Users):长期支持版,最稳定。建议选这个。Current:最新特性版,包含最新功能但可能不够稳定。下载 .pkg 安装包并运行。按照安装向导点击“下一步”即可完成。方法二:使用 Homebrew 安装(...

Dom\HTML_NO_DEFAULT_NS 的副作用:自动加闭合标签

在使用Dom\HTMLDocument时,Dom\HTML_NO_DEFAULT_NS 将禁止在解析过程中设置元素的命名空间, 此设置是为了与DOMDocument向后兼容而存在的。当使用它时,已知的一个副作用就是:自动加闭合标签例如 </img> 为什么会这样?当你使用:Dom\HTML_NO_DEFAULT_NS文档会变成 无命名空间模式,此时内部更接近 XML...

Laravel 事件和监听器创建

在 Laravel 中,使用 Artisan 命令创建 Events(事件) 和 Listeners(监听器) 是非常高效的。你可以通过以下几种方式来实现:1. 手动创建单个 Event如果你只想创建一个事件类,可以使用 make:event 命令:Bashphp artisan make:event UserRegistered执行后,文件将生成在 app/Even...

自定义域名解析神器 dnsmasq

什么是 dnsmasq?dnsmasq 是一个轻量级、功能强大的网络服务工具,专为小型和中等规模网络设计。它是一个综合的网络基础设施解决方案[1]。dnsmasq 能做什么?功能说明应用场景DNS 转发与缓存将 DNS 查询转发到上游服务器(ISP、Google DNS 等),并在本地缓存结果加快 DNS 查询速度,减少外部 DNS 流量本地 DNS解析本地网络设备的主机名,无需编辑&n...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.