今天凌晨主机EDR出现了文件上传、命令执行等多个告警。
一、文件上传
先判断文件上传的条件,应用系统存在上传点或者拿到后台账号权限。
因为公司已经禁止直连服务器,所以拿到后台账号登录的概率非常低。。
那么需要排查一下应用系统是不是存在账号密码泄露(弱口令)被非法登录的情况。
第一步:登录应用系统查看系统登录记录
排查结果在告警时间段存在一个测试账号登录系统的记录。
第二步:排查是否存在测试账号(弱口令),若没有必要进行删除
存在三个测试账号,进行了删除。
第三步:排查弱口令,并重置密码
重置了所有管理账号的密码。
第四步:排查服务器
(1)登录服务器查看是否存在该文件
(2)将文件下载下来进行分析
(3)删除脚本文件
(4)确认是否存在可疑账号、进程、定时任务等
(5)进行全盘杀毒查杀
二、命令执行
上传脚本后,攻击者通过脚本(PHP文件)调取了服务器命令。
大部分为连通性测试,其中需要关注的是pty(python实现交互式shell的方式)。
Python pty方式:当我们拿到一个webshell的时候,我们能够执行一些命令,但是这些命令都是非交互的,也就是说不存在上下文的概念。当我们想使用vim、top等命令时,webshell就无能为力了。
如果正好服务器上有 python 的话,攻击者会执行以下命令:
python -c 'import pty; pty.spawn("/bin/bash")'
结论:
攻击者没有执行恶意操作,需要继续观察。
最重要的是抓紧修复弱口令、文件上传漏洞!!