对应急响应场景应急行动

应急场景

对web-2012的web安全排查

将网站的文件以及apache日志文件打包进行排查

利用D盾扫描网站文件，排查后门

路径和时间如下：
yxcms_v1.4.7\protected\apps\default\view\default\abc.php 2022-05-03 14：12：05 yxcms_v1.4.7\protected\apps\default\view\default\index_index.php 2022-05-04 02：31：21

分析index_index.php

回到网站根目录查看文件属性

查看文件内容

很明显的一句话木马，加入到之前的源码里面，怀疑网站页面有更改源码的功能。 根据index_index.php修改时间，查看apache日志 发现在此之前没有经过暴力破解就成功进入后台

怀疑是默认密码，弱密码口令
查看2022-05-03 14：12：05时间段操作记录

发现是后台登录页面

说明在此之前成功登录
登录之后访问上述链接

发现在模板内容编辑页面有权限修改网站文件，写入一句话木马，成功后，有post 200请求

说明成功连接了webshell工具。
查看apache日志中post请求地址，发现攻击者也寻找过其他漏洞。
查看网站根目录，发现大量exe程序，用火绒扫描出大量病毒文件。

index_index.php文件排查完成，弱密码口令登录后台，有权限修改网站文件，写入一句话密码。

分析abc.php

根据路径，查看abc.php文件内容

发现是一句话木马
根据文件修改时间查看apache日志，存在大量的get 404请求
发现于2022：01：39：49成功登录后台进行上传文件


成功上传文件abc.php，说明还存在其他上传路径，发现在前台模板页面可以上传文件


上传之后有大量的post 200请求怀疑成功连接webshell工具。

总结

根据初步排查，发现攻击者从5月3号找到后台地址，于2022-05-03：10:23:46成功通过弱密码登录后台，利用网页模板内容编辑修改文件内容上传木马，并发现前台模板管理模板文件中可以上传文件。

对web-2012的主机排查

系统排查

系统基本信息

系统信息工具

在命令行中输入命令【msinfo32】，打开【系统信息】窗口，查看本地计算机的硬件资源、组件和软件环境的信息。对正在运行任务、服务、系统驱动程序、加载的模块、启动程序等进行排查。

正在运行的任务

在【系统信息】窗口中，单击【软件环境】中的【正在运行任务】选项，可以查看正在运行任务的名称、路径、进程ID等详细信息。

服务

在【系统信息】窗口中，单击【软件环境】中的【服务项】选项，可查看服务的名称、状态、路径的信息。

系统驱动程序

在【系统信息】窗口中，单击【软件环境】中的【系统驱动程序】选项，可查看系统驱动程序的名称、描述、文件等详细信息。

加载的模块

在【系统信息】窗口中，单击【软件环境】中的【加载的模块】选项，可查看加载的模块的名称、路径等详细信息。

启动程序

在【系统信息】窗口中，单击【软件环境】中的【启动程序】选项，可查看启动程序的命令、用户名、位置的详细信息。

对系统的基本信息有一个初步了解，查看是否有异常。也可以使用【systeminfo】命令简单的了解系统信息。

用户信息

可使用多种方法排查恶意账户。
1） 命令行方法
2） 图形界面方法
3） 注册表方法
4） wmic方法
这里我们使用图形界面方法查看

启动项

通过【系统配置】对话框查看

计划任务

获取任务计划的方法有几种
1） 在【计算机管理】窗口中查看
2） 在powershell下输入【Get-ScheduledTask】命令
3） 在命令行中输入【schtasks】命令
我们在【计算机管理】窗口，选择【系统工具】中【任务计划程序】中的【任务计划程序库】选项，可以查看任务计划的名称、状态、触发器等详细信息。

进程排查

对进程的排查一般有
1） 通过【任务管理器】查看
2） 使用【tasklist】命令进行排查
3） 使用【netstat】命令进行排查
4） 使用Powershell进行排查
5） 使用【wmic】命令进行查询
选择【任务管理器】粗略的查看

建议用其他方法进行深入排查

服务排查

打开【运行】对话框，输入【service.msc】命令，可打开【服务】窗口，查看所有服务项，包括服务的名称、描述、状态等。

文件痕迹排查

敏感目录

windows系统中，恶意软件常会驻留在以下位置 1） 各个盘下的temp（tmp）相关目录

2） 浏览器的历史记录、下载文件和cookie信息，查看是否有相关的恶意痕迹

3） 查看用具recent文件，存储位置如下：C:\Documents and Settings\Administrator（系统用户名）\Recent;C:\Documents and Settings\Default User\Recent
4） 预读取文件夹查看。prefetch是预读取文件夹，位置为“%SystemRoot%\Prefetch\”

时间点查找

根据攻击者上传的文件，可确定时间为2022-05-03 14：12：05开始攻击。

1. 可以根据攻击日期内新增的文件，从而发现相关的恶意软件，可以利用【forfiles】命令
   
   发现在此后新建了许多exe文件，进行排查
   2)也可对文件的创建时间、修改时间、访问时间进行排查

webshell

可以使用D盾、HwsKill、WebshellKill等工具对目录进行扫描，使用D盾扫描

发现两个可疑文件，进行查看后，是两个木马文件，在web安全进行排查过。

日志分析

1. 系统日志
2. 安全性日志
3. 应用程序日志
   到计算机管理中查看系统日志，对几个关键事件id进行排查
   
   经过初步排查，攻击者频繁登录过本机，并上传了几个恶意程序，并没有在本机进行恶意操作，排查内网机器。

域内机器的排查

进行根据对web-2012的主机排查，查看域内机器是否有异常