应急响应-Webshell-典型处置案例

news2024/11/19 19:24:08
网站后台登录页面被篡改
事件背景

在2018年11月29日4时47分,某网站管理员发现网站后台登录页面被篡改,“中招”服务器为windows系统,应采用java语言开发,所使用的中间件为Tomcat。

事件处置
Webshell排查
  • 利用D盾对网站目录进行扫描,发现Webshell痕迹,如图所示。
  • 查看对应的文件内容,确认为Webshell,如图所示。
  • 通过D盾的扫描结果定位Webshell文件位于网站root更目录(\root\indexweb4.jsp),文件的创建时间为2018年11月23日5时55分,如图所示。
Web日志分析
  • 进一步分析Web日志。Web应用运行在Tomcat中间件上,查看Tomcat的配置文件server.xml,发现其中的日志配置项被注释,即未启用日志,因此导致无Web日志记录,如图所示。
  • 对系统后台进行人工排查,发现系统对互联网开放,且管理员与其他角色用户均使用相同弱密码“asd123”。系统显示攻击者在2018年11月29日4时47分左右通过网站管理后台对登录界面Logo进行了篡改。
  • 同时,经排查发现Tomcat中间件使用了弱密码“tomcat”,攻击者可以轻易登录probe监控系统,,如图所示。
系统排查
  • 查看服务器上的安全软件告警发现存在多次恶意进程执行记录,并请求恶意域名下载恶意程序。最早在2018年11月23日0时44分,该恶意程序就已在服务器上运行,如图所示。
  • 逆向分析病毒文件,查看此恶意程序攻击行为,可基本确定起对应挖矿木马特征,可见攻击者不仅篡改网页,同时还植入挖矿程序进行挖矿,如图所示。
系统日志分析
  • 通过事件查看器筛选安全日志(security.evtx),发现36979条审核记录,如图所示。
  • 分析系统登录日志发现,字2018年11月2日起至网页篡改发现时,存在大量RDP远程桌面暴力破解行为与IPC暴力破解攻击行为,且存在多个异常RDP远程桌面登录记录,涉及的源IP有125.68.10.14(四川德阳)、104.222.32.79(美国)、77.77.98.81(伊朗),说明此前已存在攻击者通过暴力破解RDP服务登录到服务器的情况,如图所示。
问题总结
  • 综上,对发现的线索梳理如下:
  • 服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;
  • Web 应用后台存在弱密码;
  • 中间件后台存在弱密码;
  • 服务器未开启 Web 日志记录功能;
  • 服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;
  • 服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
  • 综上分析,由于页面是通过后台 Logo 上传功能进行篡改的,因此推测攻击者在 2018 年 11 月 29 日通过后台弱密码登录系统并执行了篡改 Logo 操作。但在此前系统已经被入侵控制,甚至在 2018 年 11 月 2 日就已经被 RDP 暴力破解并被远程登录。由于服务器未开启 Web 日志记录功能,且存在较多漏洞,因此给溯源定位带来困难。
根除及恢复
  • 暂停相关业务服务,对遗留网页木马(Webshell)和攻击者攻击进行移除;
  • 对服务器启用的服务进行安全加固,关闭不用的端口和服务,减少攻击面;
  • 当前启用的服务器因未开启Web访问日志记录给溯源带来一定困难,后续应开启Web访问日志记录;
  • 避免使用弱密码,并定期对服务器进行病毒查杀,减少攻击面,提升服务器的安全防护能力。
Linux系统网站服务器被植入Webshell
事件背景
  • 2018年7月23日,某公司网站发现监测设备告警,提示存在Webshell连接,请求数据包内容如图所示。目标URL对应的服务器为Linux,Web应用开放语言为Java.
事件处置
Webshell排查
  • 通过告警定位到告警文件,查看文件内容,确认为Webshell后门,如图所示。
Webshell日志排查
  • 通过日志排查发现最早访问该Webshell的时间为2018年7月23日14时16分56秒,如图所示。
  • 但在对相关Web流量日志的前后项进行过滤后,并未发现异常的文件上传行为,因此初步排除通过Web途径对系统进行攻击的情况。
系统日志排查
  • 进一步对系统进行排查,在SSH登录日志中Webshell首次访问的相邻时间段,存在来自10.127.2.2的可疑登录记录,对应时间为2018年7月23日14时08分,如图所示。
文件排查
  • 经过与运维人员沟通,确认运维人员在该时间段内并未使用该IP地址登录服务器。同时对该IP地址登录时间内产生的相关文件进行检索,发现在临时目录中存在Nmap扫描日志文件/tmp/1.xml,如图所示。
其他关联主机的排查
  • 随后转向对主机10.127.2.2进行排查,发现该主机部署禅道管理系统,并对外提供访问。在进行系统进程排查时发现存在可疑进行a,尝试主动连接至远程主机123.59.118.220,如图所示。
  • 进程启动时间为2018年7月23日14时39分,如图所示。
  • 继续对上述相关进程文件进行检索,发现对应路径文件已被删除,通过复制文件内存副本发现该进程实际上为Termite(白蚁)远程控制工具,如图所示。
  • 排查分析系统文件发现,在/storage/www/html/zentaopms/www/目录下存在Webshell后门文件help123.php,如图所示。
  • 通过对访问该文件的相关Web流量日志记录进行检索,发现在2018年7月20日15时09分02秒,有来自121.205.7.237的可疑访问记录。进一步对该服务器Web日志进行分析,发现该IP地址登录后台并上传Webshell记录。由于该服务器更换过地址,因此流量设备并未记录到该服务器流量,如图所示。
  • 推测攻击者先登录禅道管理系统后台,通过系统文件管理功能,向 IP 地址为10.127.2.2 的禅道管理系统上传 Webshell 后门,并植入相关远程控制程序。然后,以此服务器为跳板主机,通过 SSH 管理服务,使用 root 用户登录到“中招”目标服务器,向目标服务器中植入 Webshell 后门,并对内网其他主机进行扫描探测。
问题总结
  • 综上,对发现的线索梳理如下:
  • 在 2018 年 7 月 23 日 14 时 16 分 56 秒,目标服务器发现存在 Webshell访问;
  • 在 2018 年 7 月 23 日 14 时 08 分,目标服务器出现来自 10.127.2.2 的异常 SSH 登录;
  • 在服务器 10.127.2.2 中存在远控程序,远控 IP 地址为 123.59.118.220,且在 2018 年 7 月 20 日 15 时 18 分 01 秒发现 Webshell 文件 help123.php;
  • 从服务器 10.127.2.2 的日志中发现,121.2 05.7.237 在 2018 年 7 月 20 日15 时 09 分 02 秒从后台上传 help123.php。
  • 结合以上线索推理,本次 Webshell 安全事件的攻击 IP 地址为 121.205.7.237,远控 IP 地址为 123.59.118.220。2018 年 7 月 20 日,攻击者首先通过禅道管理系统后台上传 Webshell 及远控程序,实现对服务器 10.127.2.2 的控制,然后以此服务器为跳板,在 2018 年 7 月 23 日通过 SSH 远程连接到目标服务器,并上传Webshell 及恶意程序发起进一步对内网的扫描。
根除及恢复
  • 服务器断网,清理发现的Webshell及恶意程序;
  • 对服务器进行安全加固,更改应用及系统密码,升级所使用的禅道管理系统,修补漏洞;
  • 带清理完成确认安全后,重新部署上线。
Windwos系统网站服务器被植入Webshell
事件背景
  • 2019年12月26日,某单位被上级监管单位通报存在挂马现象,网站应用存在可疑Webshell访问,网站服务器为Windows系统,使用PHP开发语言。
事件处置
Webshell排查
  • 利用D盾扫描网站目录,发现Webshell痕迹,扫描结果如图所示。
Web日志分析
  • 分析相应时间范围内的的Web应用日志,发现攻击者在2019年5月26日,通过管理后台访问到编辑器,并且成功上传带有恶意Webshell代码的图片文件,但未成功入侵,如图所示。
  • 在2019年6月14日09时22分37秒,攻击者通过目录猜解工具成功猜解到网站部署的探针文件,如图所示。
  • 在2019年6月14日09时22分48秒,攻击者成功登录phpmyadmin管理后台,如图所示。
  • 在2019年6月14日09时23分41秒,攻击者通过phpmyadmin,利用MySQL数据库特性向服务器写入网站后门文件“520.php”,如图所示。
  • 在2019年6月14日09时24分33秒,攻击者访问写入服务器的后门文件,并且利用后门文件再次写入一个后门文件“c321.php”,如图所示。
  • 2019年6月16日04时02分08秒,攻击者成功上传新的后门文件“mow4125ang.php”,如图所示。
  • 2019年6月16日20时40分51秒,攻击者修改系统模板文件,生成新的后门文件,隐藏“function.cycle.php”,如图所示。
系统排查
  • 系统排查无异常,攻击者仅上传了Webshell操作。
问题总结
  • 综上,对发现的线索梳理如下:
  • 2019 年 5 月 26 日,攻击者成功上传带有恶意代码的图片,但未成功入侵;
  • 2019 年 6 月 14 日,攻击者通过 phpmyadmin 管理后台成功登录,通过操作数据库成功向服务器写入后门文件,获取服务器控制权限。
  • 结合以上线索推理,IP 地址为 202.***.***.10 的攻击者在 2019 年 6 月 14 日通过 phpmyadmin 管理后台向服务器写入 Webshell,实现对服务器的控制,未对操作系统做恶意操作。
根除及恢复
  • 对被入侵的服务器进行下线处理;
  • 清除攻击者上传成功的恶意代码和后门文件;
  • 对 Web 应用进行补丁升级和漏洞修复;
  • 加强登录密码复杂度,并添加登录验证措施;
  • 同时通过网络安全设备对网站进行防护。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1507505.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【框架学习 | 第四篇】Spring下篇(Spring AOP、Spring 事务、Spring中7种设计模式)

文章目录 4.详讲AOP4.1什么是AOP?4.2为什么叫做面向切面编程?4.3AOP解决的问题4.4AOP应用场景4.5AOP实现方式4.5.1动态代理的实现(1)JDK代理(2)CGLB代理(3)基于接口的动态代理&#…

国产云数据库介绍

这是ren_dong的第35篇原创 前言 目前布局数据库的IT公司越来越多,主要基于 计算场景的延伸和拓展。在不同的计算场景下,所需要的数据库的性能会有所差异。 特别是在 云计算场景下,传统的数据库面临一定挑战。腾讯、阿里巴巴等纷纷开发更加适合…

管理类联考-复试-管理类知识-领导激励理论控制

文章目录 领导领导方式的基本类型领导权变理论情境领导理论管理权力四种员工类型 激励理论归因理论、晕轮效应、假设相似性古典动机理论马斯洛需求理论双因素理论XY理论三种需求理论工作特征模型当代动机理论目标设置理论强化理论公平理论期望理论 控制控制及其必要性PDCA、甘特…

龙年新征程!凌恩生物2月客户文章累计IF>300

2024年2月,凌恩生物助力客户发表文章47篇(6篇预发表),累计影响因子317.3分,其中包括Advanced Materials、Microbiome、Journal of Hazardous Materials、Small、Molecular Psychiatry、Science of the Total Environme…

使用 SPL 高效实现 Flink SLS Connector 下推

作者:潘伟龙(豁朗) 背景 日志服务 SLS 是云原生观测与分析平台,为 Log、Metric、Trace 等数据提供大规模、低成本、实时的平台化服务,基于日志服务的便捷的数据接入能力,可以将系统日志、业务日志等接入 …

Axure 单键快捷键 加快绘图速度 提高工作效率

画图类 R:绘制矩形 先点击空白页面,输入R即可绘制 L:绘制直线 先点击空白页面,输入L即可绘制,绘制的时候按住shift直线 O:绘制圆 先点击空白页面,输入O即可绘制,绘制的时候按…

【竞技宝】LOL:TES连下两局轻松击败OMG

【竞技宝】LOL:TES连下两局轻松击败OMG 北京时间2024年3月9日,英雄联盟LPL2024春季常规赛继续进行,昨日共进行三场比赛,第三场比赛由TES对阵OMG。本场比赛,TES的打野选手tian个人表现出色,两局比赛都多次成…

[MYSQL数据库]--表的增删查改和字段类型

前言 作者:小蜗牛向前冲 名言:我可以接受失败,但我不能接受放弃 如果觉的博主的文章还不错的话,还请点赞,收藏,关注👀支持博主。如果发现有问题的地方欢迎❀大家在评论区指正 目录 一、表的增…

[力扣 Hot100]Day48 路径总和 III

题目描述 给定一个二叉树的根节点 root ,和一个整数 targetSum ,求该二叉树里节点值之和等于 targetSum 的 路径 的数目。 路径 不需要从根节点开始,也不需要在叶子节点结束,但是路径方向必须是向下的(只能从父节点到…

ChatGPT 消息发不出去了?我找到解决方案了.

ChatGPT消息发不出去了?我找到解决方案了 今天忽然发现 ChatGPT无法发送消息,能查看历史对话,但是无法发送消息。 猜测原因 出现这个问题的各位,应该都是点击登录后顶部弹窗邀请加入多语言 alapha测试]了,并且语言选择了中文&am…

【JS】APIs:事件流、事件委托、其他事件、页面尺寸、日期对象与节点操作

1 事件流 捕获阶段&#xff1a;从父到子 冒泡阶段&#xff1a;从子到父 1.1 事件捕获 <body> <div class"fa"><div class"son"></div> </div> <script>const fadocument.querySelector(.fa);const sondocument.qu…

【MATLAB】语音信号识别与处理:移动中位数滤波算法去噪及谱相减算法呈现频谱

1 基本定义 移动中位数滤波算法是一种基于中位数的滤波方法&#xff0c;它通过对信号进行滑动窗口处理&#xff0c;每次取窗口内的中位数作为当前点的估计值&#xff0c;以去除噪声。该算法的主要思想是利用中位数的鲁棒性&#xff0c;对信号中的噪声进行有效的消除。 具体来说…

RocketMQ入门指南:从零开始学习分布式消息队列技术

RocketMQ 1. MQ介绍1.1 为什么要用MQ1.2 MQ的优点和缺点1.3 各种MQ产品的比较 2. RocketMQ快速入门2.1 准备工作2.1.1 下载RocketMQ2.2.2 环境要求 2.2 安装RocketMQ2.2.1 安装步骤2.2.2 目录介绍 2.3 启动RocketMQ2.4 测试RocketMQ2.4.1 发送消息2.4.2 接收消息 2.5 关闭Rocke…

【AIGC+VisionPro】空间视频生意的创业者

1. 产品概述 -一款基于人工智能的2D到3D视频/图像转换工具,可将普通的2D视频/图像转换为令人惊艳的3D视觉体验。 - 它支持在PC上进行转换,并输出适用于Meta Quest、Apple Vision Pro等XR设备的3D格式。 2. 产品功能 - 利用尖端的3D AI系统,可将任何视频(Youtube、电影、游戏、…

C++第一弹---C++入门(上)

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】 【C详解】 C入门 1、C关键字(C98) 2、命名空间 2.1、命名空间定义 2.2、命名空间使用 3、C输入&输出 4、缺省参数 4.1、缺省参数概念 4.2、缺省参…

《Ubuntu20.04环境下的ROS进阶学习0》

一、逛ROS应用商店 在上一专栏http://t.csdnimg.cn/oGlcu&#xff0c;我们了解了ROS的基本功能。这一专栏将会在此基础上做出进一步拓展学习。那么首先我们要学会下载并阅读别人的代码。常用的两个应用商店一个是ROS的官方应用商店ROS index&#xff0c;另一个就是我们熟知的gi…

基于SpringBoot+MYSQL的房屋租赁系统

1、 前言介绍 社会的发展和科学技术的进步&#xff0c;互联网技术越来越受欢迎。网络计算机的生活方式逐渐受到广大人民群众的喜爱&#xff0c;也逐渐进入了每个用户的使用。互联网具有便利性&#xff0c;速度快&#xff0c;效率高&#xff0c;成本低等优点。 因此&#xff0c…

学校Java的第七天

目录 一、什么是数组 二、作用 三、如何使用数组 1、声明数组变量 2、创建数组 示例&#xff1a; 3、数组的使用 示例&#xff1a; 4、数组的遍历 for循环示例&#xff08;不知道for循环的可以查看我之前发的文章&#xff09; for-each循环&#xff08;也就是增强for…

Visual Studio单步调试中监视窗口变灰的问题

在vs调试中&#xff0c;写了这样一条语句 while((nfread(buf, sizeof(float), N, pf))>0) 然而&#xff0c;在调试中&#xff0c;只要一执行while这条语句&#xff0c;监视窗口中的变量全部变为灰色&#xff0c;不能查看&#xff0c;是程序本身并没有报错&#xff0c;能够继…

每日OJ题_链表⑤_力扣25. K 个一组翻转链表

目录 力扣25. K 个一组翻转链表 解析代码 力扣25. K 个一组翻转链表 25. K 个一组翻转链表 难度 困难 给你链表的头节点 head &#xff0c;每 k 个节点一组进行翻转&#xff0c;请你返回修改后的链表。 k 是一个正整数&#xff0c;它的值小于或等于链表的长度。如果节点总…