网站后台登录页面被篡改
事件背景
在2018年11月29日4时47分,某网站管理员发现网站后台登录页面被篡改,“中招”服务器为windows系统,应采用java语言开发,所使用的中间件为Tomcat。
事件处置
Webshell排查
- 利用D盾对网站目录进行扫描,发现Webshell痕迹,如图所示。
- 查看对应的文件内容,确认为Webshell,如图所示。
- 通过D盾的扫描结果定位Webshell文件位于网站root更目录(\root\indexweb4.jsp),文件的创建时间为2018年11月23日5时55分,如图所示。
Web日志分析
- 进一步分析Web日志。Web应用运行在Tomcat中间件上,查看Tomcat的配置文件server.xml,发现其中的日志配置项被注释,即未启用日志,因此导致无Web日志记录,如图所示。
- 对系统后台进行人工排查,发现系统对互联网开放,且管理员与其他角色用户均使用相同弱密码“asd123”。系统显示攻击者在2018年11月29日4时47分左右通过网站管理后台对登录界面Logo进行了篡改。
- 同时,经排查发现Tomcat中间件使用了弱密码“tomcat”,攻击者可以轻易登录probe监控系统,,如图所示。
系统排查
- 查看服务器上的安全软件告警发现存在多次恶意进程执行记录,并请求恶意域名下载恶意程序。最早在2018年11月23日0时44分,该恶意程序就已在服务器上运行,如图所示。
- 逆向分析病毒文件,查看此恶意程序攻击行为,可基本确定起对应挖矿木马特征,可见攻击者不仅篡改网页,同时还植入挖矿程序进行挖矿,如图所示。
系统日志分析
- 通过事件查看器筛选安全日志(security.evtx),发现36979条审核记录,如图所示。
- 分析系统登录日志发现,字2018年11月2日起至网页篡改发现时,存在大量RDP远程桌面暴力破解行为与IPC暴力破解攻击行为,且存在多个异常RDP远程桌面登录记录,涉及的源IP有125.68.10.14(四川德阳)、104.222.32.79(美国)、77.77.98.81(伊朗),说明此前已存在攻击者通过暴力破解RDP服务登录到服务器的情况,如图所示。
问题总结
- 综上,对发现的线索梳理如下:
- 服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;
- Web 应用后台存在弱密码;
- 中间件后台存在弱密码;
- 服务器未开启 Web 日志记录功能;
- 服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;
- 服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
- 综上分析,由于页面是通过后台 Logo 上传功能进行篡改的,因此推测攻击者在 2018 年 11 月 29 日通过后台弱密码登录系统并执行了篡改 Logo 操作。但在此前系统已经被入侵控制,甚至在 2018 年 11 月 2 日就已经被 RDP 暴力破解并被远程登录。由于服务器未开启 Web 日志记录功能,且存在较多漏洞,因此给溯源定位带来困难。
根除及恢复
- 暂停相关业务服务,对遗留网页木马(Webshell)和攻击者攻击进行移除;
- 对服务器启用的服务进行安全加固,关闭不用的端口和服务,减少攻击面;
- 当前启用的服务器因未开启Web访问日志记录给溯源带来一定困难,后续应开启Web访问日志记录;
- 避免使用弱密码,并定期对服务器进行病毒查杀,减少攻击面,提升服务器的安全防护能力。
Linux系统网站服务器被植入Webshell
事件背景
- 2018年7月23日,某公司网站发现监测设备告警,提示存在Webshell连接,请求数据包内容如图所示。目标URL对应的服务器为Linux,Web应用开放语言为Java.
事件处置
Webshell排查
- 通过告警定位到告警文件,查看文件内容,确认为Webshell后门,如图所示。
Webshell日志排查
- 通过日志排查发现最早访问该Webshell的时间为2018年7月23日14时16分56秒,如图所示。
- 但在对相关Web流量日志的前后项进行过滤后,并未发现异常的文件上传行为,因此初步排除通过Web途径对系统进行攻击的情况。
系统日志排查
- 进一步对系统进行排查,在SSH登录日志中Webshell首次访问的相邻时间段,存在来自10.127.2.2的可疑登录记录,对应时间为2018年7月23日14时08分,如图所示。
文件排查
- 经过与运维人员沟通,确认运维人员在该时间段内并未使用该IP地址登录服务器。同时对该IP地址登录时间内产生的相关文件进行检索,发现在临时目录中存在Nmap扫描日志文件/tmp/1.xml,如图所示。
其他关联主机的排查
- 随后转向对主机10.127.2.2进行排查,发现该主机部署禅道管理系统,并对外提供访问。在进行系统进程排查时发现存在可疑进行a,尝试主动连接至远程主机123.59.118.220,如图所示。
- 进程启动时间为2018年7月23日14时39分,如图所示。
- 继续对上述相关进程文件进行检索,发现对应路径文件已被删除,通过复制文件内存副本发现该进程实际上为Termite(白蚁)远程控制工具,如图所示。
- 排查分析系统文件发现,在/storage/www/html/zentaopms/www/目录下存在Webshell后门文件help123.php,如图所示。
- 通过对访问该文件的相关Web流量日志记录进行检索,发现在2018年7月20日15时09分02秒,有来自121.205.7.237的可疑访问记录。进一步对该服务器Web日志进行分析,发现该IP地址登录后台并上传Webshell记录。由于该服务器更换过地址,因此流量设备并未记录到该服务器流量,如图所示。
- 推测攻击者先登录禅道管理系统后台,通过系统文件管理功能,向 IP 地址为10.127.2.2 的禅道管理系统上传 Webshell 后门,并植入相关远程控制程序。然后,以此服务器为跳板主机,通过 SSH 管理服务,使用 root 用户登录到“中招”目标服务器,向目标服务器中植入 Webshell 后门,并对内网其他主机进行扫描探测。
问题总结
- 综上,对发现的线索梳理如下:
- 在 2018 年 7 月 23 日 14 时 16 分 56 秒,目标服务器发现存在 Webshell访问;
- 在 2018 年 7 月 23 日 14 时 08 分,目标服务器出现来自 10.127.2.2 的异常 SSH 登录;
- 在服务器 10.127.2.2 中存在远控程序,远控 IP 地址为 123.59.118.220,且在 2018 年 7 月 20 日 15 时 18 分 01 秒发现 Webshell 文件 help123.php;
- 从服务器 10.127.2.2 的日志中发现,121.2 05.7.237 在 2018 年 7 月 20 日15 时 09 分 02 秒从后台上传 help123.php。
- 结合以上线索推理,本次 Webshell 安全事件的攻击 IP 地址为 121.205.7.237,远控 IP 地址为 123.59.118.220。2018 年 7 月 20 日,攻击者首先通过禅道管理系统后台上传 Webshell 及远控程序,实现对服务器 10.127.2.2 的控制,然后以此服务器为跳板,在 2018 年 7 月 23 日通过 SSH 远程连接到目标服务器,并上传Webshell 及恶意程序发起进一步对内网的扫描。
根除及恢复
- 服务器断网,清理发现的Webshell及恶意程序;
- 对服务器进行安全加固,更改应用及系统密码,升级所使用的禅道管理系统,修补漏洞;
- 带清理完成确认安全后,重新部署上线。
Windwos系统网站服务器被植入Webshell
事件背景
- 2019年12月26日,某单位被上级监管单位通报存在挂马现象,网站应用存在可疑Webshell访问,网站服务器为Windows系统,使用PHP开发语言。
事件处置
Webshell排查
- 利用D盾扫描网站目录,发现Webshell痕迹,扫描结果如图所示。
Web日志分析
- 分析相应时间范围内的的Web应用日志,发现攻击者在2019年5月26日,通过管理后台访问到编辑器,并且成功上传带有恶意Webshell代码的图片文件,但未成功入侵,如图所示。
- 在2019年6月14日09时22分37秒,攻击者通过目录猜解工具成功猜解到网站部署的探针文件,如图所示。
- 在2019年6月14日09时22分48秒,攻击者成功登录phpmyadmin管理后台,如图所示。
- 在2019年6月14日09时23分41秒,攻击者通过phpmyadmin,利用MySQL数据库特性向服务器写入网站后门文件“520.php”,如图所示。
- 在2019年6月14日09时24分33秒,攻击者访问写入服务器的后门文件,并且利用后门文件再次写入一个后门文件“c321.php”,如图所示。
- 2019年6月16日04时02分08秒,攻击者成功上传新的后门文件“mow4125ang.php”,如图所示。
- 2019年6月16日20时40分51秒,攻击者修改系统模板文件,生成新的后门文件,隐藏“function.cycle.php”,如图所示。
系统排查
- 系统排查无异常,攻击者仅上传了Webshell操作。
问题总结
- 综上,对发现的线索梳理如下:
- 2019 年 5 月 26 日,攻击者成功上传带有恶意代码的图片,但未成功入侵;
- 2019 年 6 月 14 日,攻击者通过 phpmyadmin 管理后台成功登录,通过操作数据库成功向服务器写入后门文件,获取服务器控制权限。
- 结合以上线索推理,IP 地址为 202.***.***.10 的攻击者在 2019 年 6 月 14 日通过 phpmyadmin 管理后台向服务器写入 Webshell,实现对服务器的控制,未对操作系统做恶意操作。
根除及恢复
- 对被入侵的服务器进行下线处理;
- 清除攻击者上传成功的恶意代码和后门文件;
- 对 Web 应用进行补丁升级和漏洞修复;
- 加强登录密码复杂度,并添加登录验证措施;
- 同时通过网络安全设备对网站进行防护。