update

第二章：Windows实战篇/第1篇：FTP暴力破解.md

@@ -8,7 +8,7 @@
 
 ​	从昨天开始，网站响应速度变得缓慢，网站服务器登录上去非常卡，重启服务器就能保证一段时间的正常访问，网站响应状态时而飞快时而缓慢，多数时间是缓慢的。针对网站服务器异常，系统日志和网站日志，是我们排查处理的重点。查看Window安全日志，发现大量的登录失败记录：
 
-![](.\image\win-5-1.png)
+![](image\win-5-1.png)
 
 ### 0x02 日志分析
 
@@ -18,11 +18,11 @@
 
 打开安全日志，在右边点击筛选当前日志， 在事件ID填入4625，查询到事件ID4625，事件数177007，从这个数据可以看出，服务器正则遭受暴力破解：
 
-![](.\image\win-5-2.png)
+![](image\win-5-2.png)
 
 进一步使用Log Parser对日志提取数据分析，发现攻击者使用了大量的用户名进行爆破，例如用户名：fxxx，共计进行了17826次口令尝试，攻击者基于“fxxx”这样一个域名信息，构造了一系列的用户名字典进行有针对性进行爆破，如下图：
 
-![](.\image\win-5-3.png)
+![](image\win-5-3.png)
 
 这里我们留意到登录类型为8，来了解一下登录类型8是什么意思呢？
 
@@ -32,21 +32,21 @@
 
 我们推测可能是FTP服务，通过查看端口服务及管理员访谈，确认服务器确实对公网开放了FTP服务。
 
-![](.\image\win-5-4.png)
+![](image\win-5-4.png)
 
 另外，日志并未记录暴力破解的IP地址，我们可以使用Wireshark对捕获到的流量进行分析，获取到正在进行爆破的IP：
 
-![](.\image\win-5-5.png)
+![](image\win-5-5.png)
 
 通过对近段时间的管理员登录日志进行分析，如下：
 
-![](.\image\win-5-6.png)
+![](image\win-5-6.png)
 
 管理员登录正常，并未发现异常登录时间和异常登录ip，这里的登录类型10，代表远程管理桌面登录。
 
 另外，通过查看FTP站点，发现只有一个测试文件，与站点目录并不在同一个目录下面，进一步验证了FTP暴力破解并未成功。
 
-![](.\image\win-5-7.png)
+![](image\win-5-7.png)
 
 应急处理措施：1、关闭外网FTP端口映射           2、删除本地服务器FTP测试