结论建议
结论:
\1. 攻击者通过 ThinkPHP 远程命令执行漏洞获取了 web
shell,从而实现挂马。建议:
入侵事件应急案例
- 背景介绍
2019 年 08 月,客户收到信息安全邮件告警,内部主机(172.*.*.101)对堡垒机进行多次暴力破解。 排查发现该主机 /tmp 目录存在 frpc 等内网渗透工具,并且主机与公网 IP 地址建立了连接关系。因此, 管理员对该主机进行了紧急下线。
处置过程
- 与相关人员沟通得知,互联网无法直接访问到内部主机(172.*.*.101),因此怀疑存在其他主
机被黑客当作跳板。通过查看内部安全设备,确认 08 月 07 日,仅(172. *.*.11)(172. *.*.59)(172. *.*.112)三台主机登录过(172. *.*.101),因此,对以上三台主机展开调查。 - 经过确认,(172. *.*.11、172. *.*.59)两台主机未发现异常,均为运维人员的正常操作,但在(172.
*.*.112)主机 secure 日志中发现该主机 SSH服务被大量暴力破解,并且成功登录,源 IP为(172. *.*