应急场景
对web-2012的web安全排查
将网站的文件以及apache日志文件打包进行排查
利用D盾扫描网站文件,排查后门
路径和时间如下:
yxcms_v1.4.7\protected\apps\default\view\default\abc.php 2022-05-03 14:12:05 yxcms_v1.4.7\protected\apps\default\view\default\index_index.php 2022-05-04 02:31:21
分析index_index.php
回到网站根目录查看文件属性
查看文件内容
很明显的一句话木马,加入到之前的源码里面,怀疑网站页面有更改源码的功能。 根据index_index.php修改时间,查看apache日志 发现在此之前没有经过暴力破解就成功进入后台
怀疑是默认密码,弱密码口令
查看2022-05-03 14:12:05时间段操作记录
发现是后台登录页面
说明在此之前成功登录
登录之后访问上述链接
发现在模板内容编辑页面有权限修改网站文件,写入一句话木马,成功后,有post 200请求
说明成功连接了webshell工具。
查看apache日志中post请求地址,发现攻击者也寻找过其他漏洞。
查看网站根目录,发现大量exe程序,用火绒扫描出大量病毒文件。
index_index.php文件排查完成,弱密码口令登录后台,有权限修改网站文件,写入一句话密码。
分析abc.php
根据路径,查看abc.php文件内容
发现是一句话木马
根据文件修改时间查看apache日志,存在大量的get 404请求
发现于2022:01:39:49成功登录后台进行上传文件
成功上传文件abc.php,说明还存在其他上传路径,发现在前台模板页面可以上传文件
上传之后有大量的post 200请求怀疑成功连接webshell工具。
总结
根据初步排查,发现攻击者从5月3号找到后台地址,于2022-05-03:10:23:46成功通过弱密码登录后台,利用网页模板内容编辑修改文件内容上传木马,并发现前台模板管理模板文件中可以上传文件。
对web-2012的主机排查
系统排查
系统基本信息
系统信息工具
在命令行中输入命令【msinfo32】,打开【系统信息】窗口,查看本地计算机的硬件资源、组件和软件环境的信息。对正在运行任务、服务、系统驱动程序、加载的模块、启动程序等进行排查。
正在运行的任务
在【系统信息】窗口中,单击【软件环境】中的【正在运行任务】选项,可以查看正在运行任务的名称、路径、进程ID等详细信息。
服务
在【系统信息】窗口中,单击【软件环境】中的【服务项】选项,可查看服务的名称、状态、路径的信息。
系统驱动程序
在【系统信息】窗口中,单击【软件环境】中的【系统驱动程序】选项,可查看系统驱动程序的名称、描述、文件等详细信息。
加载的模块
在【系统信息】窗口中,单击【软件环境】中的【加载的模块】选项,可查看加载的模块的名称、路径等详细信息。
启动程序
在【系统信息】窗口中,单击【软件环境】中的【启动程序】选项,可查看启动程序的命令、用户名、位置的详细信息。
对系统的基本信息有一个初步了解,查看是否有异常。也可以使用【systeminfo】命令简单的了解系统信息。
用户信息
可使用多种方法排查恶意账户。
1) 命令行方法
2) 图形界面方法
3) 注册表方法
4) wmic方法
这里我们使用图形界面方法查看
启动项
通过【系统配置】对话框查看
计划任务
获取任务计划的方法有几种
1) 在【计算机管理】窗口中查看
2) 在powershell下输入【Get-ScheduledTask】命令
3) 在命令行中输入【schtasks】命令
我们在【计算机管理】窗口,选择【系统工具】中【任务计划程序】中的【任务计划程序库】选项,可以查看任务计划的名称、状态、触发器等详细信息。
进程排查
对进程的排查一般有
1) 通过【任务管理器】查看
2) 使用【tasklist】命令进行排查
3) 使用【netstat】命令进行排查
4) 使用Powershell进行排查
5) 使用【wmic】命令进行查询
选择【任务管理器】粗略的查看
建议用其他方法进行深入排查
服务排查
打开【运行】对话框,输入【service.msc】命令,可打开【服务】窗口,查看所有服务项,包括服务的名称、描述、状态等。
文件痕迹排查
敏感目录
windows系统中,恶意软件常会驻留在以下位置 1) 各个盘下的temp(tmp)相关目录
2) 浏览器的历史记录、下载文件和cookie信息,查看是否有相关的恶意痕迹
3) 查看用具recent文件,存储位置如下:C:\Documents and Settings\Administrator(系统用户名)\Recent;C:\Documents and Settings\Default User\Recent
4) 预读取文件夹查看。prefetch是预读取文件夹,位置为“%SystemRoot%\Prefetch\”
时间点查找
根据攻击者上传的文件,可确定时间为2022-05-03 14:12:05开始攻击。
- 可以根据攻击日期内新增的文件,从而发现相关的恶意软件,可以利用【forfiles】命令
发现在此后新建了许多exe文件,进行排查
2)也可对文件的创建时间、修改时间、访问时间进行排查
webshell
可以使用D盾、HwsKill、WebshellKill等工具对目录进行扫描,使用D盾扫描
发现两个可疑文件,进行查看后,是两个木马文件,在web安全进行排查过。
日志分析
- 系统日志
- 安全性日志
- 应用程序日志
到计算机管理中查看系统日志,对几个关键事件id进行排查
经过初步排查,攻击者频繁登录过本机,并上传了几个恶意程序,并没有在本机进行恶意操作,排查内网机器。
域内机器的排查
进行根据对web-2012的主机排查,查看域内机器是否有异常