本文目录
目录
Web安全事件
概述
出现网站页面被替换或大量植入博彩页面、色情连接、反动标语、网页跳转、植入WebShell/后门等现象
案例1 - webshell
背景
客户描述,服务器被攻击,严重影响业务,需要应急
排查情况
天眼
- 发现大量冰蝎、蚁剑成功连接告警
服务器
- 进程排查:排查服务器进程,发现恶意进程
- 用户信息排查:排查登陆信息,发现有root账户重复登陆的情况,IP经确认非正常会用来登陆的IP
- 网络排查:发现一个访问的可疑IP,客户说这个IP不通,但经过自己测试是可以ping通的(客户有时不可信,用事实说话)
- 文件痕迹排查:全盘搜索木马,发现上传的木马
- 文件痕迹排查:发现攻击者的上传的masscan、frp
案例2 - Struts2
通过天眼告警,发现服务器被攻击者利用struts2漏洞攻击成功
排查情况
天眼
服务器
- 文件痕迹排查:在home目录下发现了利用工具
- 日志分析:history检查命令执行记录,发现利用了shiro-tool.jar
- 日志分析:查看shiro日志,发现有攻击成功的标识
- 文件痕迹排查:检查tmp目录,发现有frp配置文件,获取到攻击者的IP
下一步再回到天眼,检索有没有与这个IP交互的记录,有的话就说明攻击成功了
案例3 - Redis未授权
背景
天眼告警存在redis未授权访问漏洞
排查情况
天眼
- 发现似乎对于/root/.ssh/进行了操作
- 检索攻击IP为此台受害主机IP的告警记录,发现没有告警,可以判断受害主机没有被当成跳板机
服务器
- 文件痕迹排查:检查/root/.ssh/目录,发现攻击者秘钥信息
- 用户信息排查:根据攻击IP检查登陆情况,确定攻击者的登陆时间和使用的账户,发现先用root登陆再用test登陆,可能新建了账号
- 用户信息排查:检查/etc/passwd文件,发现test账号有root权限,基本可以判定是攻击者创建的
- 日志分析:history查看命令记录,发现创建了test账户
案例4 - EW内网穿透
背景
天眼告警发现黑客工具 - EarthWorm内网穿透工具
排查情况
天眼
服务器
- 文件痕迹排查:检查tmp目录,发现有可疑文件update.ini,打开后发现里面是ssh密钥,跟root目录下的ssh密钥一样,可以判定为攻击者的密钥
- 进程排查:有一个代理转发了7009端口
- 文件痕迹排查:全盘搜索木马,发现上传的木马
- 文件痕迹排查:根据时间点确定攻击顺序
案例5 - 一句话木马
背景
天眼告警发现上传一句话木马
排查情况
天眼
一般出现这种告警都带有木马的路径,直接服务找就行
服务器
- 文件痕迹排查:根据路径找到木马
- 进程排查:发现还有一个ew进程,根据进程找到文件位置进行删除
案例6 - CobaltStrike木马
背景
天眼告警发现存在木马远控工具CobaltStrike RAT系列通信
排查情况
天眼
根据前后的告警可以大概判断攻击的顺序:弱口令 --> 命令注入 --> 上传木马 --> 攻击利用
服务器
- 用户信息排查:发现一个隐藏账号a$
- 文件痕迹排查:现场刚好有天擎,直接扫描发现木马
- 进程排查:从任务管理器查看a$起的进程,关闭并删除对应恶意文件
案例7 - 用友NC上传漏洞
背景
天眼告警发现利用冰蝎webshell工具连接后门
排查情况
天眼
服务器
- 文件痕迹排查:D盾扫描发现后门文件
- 进程排查:未发现异常外联进程
- 计划任务排查:未发现异常
- 用户信息排查:未发现异常
不确定是怎么将后门传上来的,应急响应中找到攻击的路径很重要
天眼
再排查天眼前面的告警,发现另一条利用用友NC上传漏洞的告警
至此确定攻击的路径