记一次webshell排查但又无webshell的应急

于 2024-04-18 19:50:31 发布
阅读量426 收藏 1
点赞数 3
文章标签: 网络安全 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/137934831
版权
文章讲述了在一次应急事件中,客户内网流量分析设备检测到大量webshell连接告警,经过排查发现是由于公网域名的nginx配置导致的误报,攻击者扫描外网时,nginx将扫描路径分发至内网服务器,引发误警。
摘要由CSDN通过智能技术生成

某次应急中,客户吓坏了,说是内网流量分析设备中有很多webshell连接告警,作为一名卑微但又不失理想的安服仔,毅然直奔前线…

过程

去到现场后,直接打开客户的流量分析设备,的确看到一堆冒红的webshell连接告警,看到来源ip有公网的,直接先排查公网对内部系统的攻击,但是排查后,发现目标攻击的系统并没有被入侵,但为什么内部系统会有大量的内网对内网webshell连接尝试何失败日志?如下图所示:

img

于是申请到15.1的主机上进行排查分析,登陆到192.168.15.1服务器上进行排查,发现无异常外联

img

也没有异常的进程,查看最近登陆的日期,发现并无任何异常。

img

img

最后排查到该主机具备公网域名,并且有做nginx配置,查看nginx配置存在include *.conf ,所以对/usr/local/nginx/conf.d/目录下进行排查

img

所以对/usr/local/nginx/conf.d/目录下进行排查,最后终于发现了问题,app.conf文件配置了内网15.8 ,15.9 ,15.10的分发,

img

查看nginx的access.log日志,发现外网攻击者扫描过这个nginx,以及许多扫描的webshell名字路径。

img

所以基本可以确定,因为测试区的nginx能被互联网访问,所以攻击者扫描外网时,nginx把扫描的路径分发到内网的几台服务器中,并且流量设备只是简单的对文件名进行了常见webshell名字匹配,匹配成功则出现告警,没有判断响应包的状态码是否正常,所以产生了很多内网对内网ip的webshell连接告警,实际上,服务器并没有沦陷,只是攻击者在外网的扫描行为触发。

img

后话

回头看,原来就这么一回事,但是实际上,在客户现场折腾了一

黑战士安全
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络安全应急响应----9、WebShell应急响应
七天
03-23 8894
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
应急响应-webshell查杀
最新发布
网络安全
07-08 776
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
一次Web应急响应处置
weixin_43253823的博客
02-27 1176
web应急响应处置流程
应急响应-Webshell-技术操作指南
qq_50765147的博客
03-10 1673
应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。
应急响应-主机后门webshell排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)
告白的博客
08-04 1489
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
浅谈一次与sql注入 & webshell 的美丽“邂逅”
09-09
Webshell,又称网页后门,是一种攻击者上传到目标服务器的恶意脚本,通常用于远程控制和管理被黑网站。Webshell可以提供命令执行、文件操作、数据库管理等功能,使攻击者能够绕过常规的安全防护措施。案例中,通过...
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
一个ASP.Net下的WebShell实例
10-27
在网络安全领域,WebShell是一种恶意代码,它被黑客用来远程控制受害者的Web服务器。本文将详细解析一个特定的ASP.Net WebShell实例,它主要用于执行CMD命令,利用ASP.Net用户较高的权限来实现对服务器的非法操作。 ...
强大的webshell管理工具-哥斯拉
12-27
标题中的“强大的webshell管理工具-哥斯拉”指的是一个名为“哥斯拉”的软件工具,它是专门设计用于管理和控制Webshell的。Webshell是一种在Web服务器上运行的后门程序,通常由黑客植入,以远程控制服务器或执行恶意...
应急响应-Webshell-典型处置案例
qq_50765147的博客
03-11 789
综上,对发现的线索梳理如下:服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;Web 应用后台存在弱密码;中间件后台存在弱密码;服务器未开启 Web 日志录功能;服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
一次Weblogic控制台弱口令爆破事件应急响应
Boom!脑洞大爆炸的博客
06-27 647
一次Weblogic控制台弱口令爆破事件应急响应
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1894
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
应急响应事件处置指南
热门推荐
qq_33295410的博客
01-30 2万+
《网络安全应急响应事件处置指南》是一份详细的手册,旨在帮助组织有效地应对网络安全事件。这份指南包含了一系列的步骤和建议,以便在发生网络安全事件时,能够迅速、准确地识别问题、评估风险、采取适当的应对措施,并进行必要的恢复工作。
文件包含 nginx日志写shell
xzh的博客
02-03 587
发现我们的一句话木马成功写入在本地日志文件现在利用目录穿越结合这个漏洞靶机来访问这个一句话木马 输入phpinfo成功执行。最后 QAQ 因为刚入门文笔不太好也有可能有些错的地方 欢迎大佬来纠正qq 3661629617。我在txt里写入phpinfo然后使用文件包含漏洞的靶机来读取txt却执行成功php。使用蚁剑来连接一下 发现成功连接webshell。成功执行了现在看看日志文件是否写入。
Nginx负载均衡下的webshell连接与过滤绕过以及LD_PRELOAD利用
求大佬师傅带
08-14 642
Nginx负载均衡下的webshell连接与过滤绕过以及LD_PROLOAD利用
负载均衡下webshell连接nginx解析漏洞、sql注入第一关
kaituozhizzz的博客
02-19 808
首先搭建环境找到php较低的版本改一下账号密码输入?id=1 正常输入?id=1' 报错 ' .0 '输入?id=1'--+ 正常判断是字符型注入,闭合方式是'id是1后台看是数据表里第一行查询id=1'出错前端打印出了报错信息语法错误这里是找到了库名,接下来是找表名这个方法是子里面把两个表连接在一起查询出的数据,当做一张表来进行查询,join是连接的意思,复查询去查询?nginx常用命令安装nginx相应的库配置文件在这里这个页面在这里。
网络安全-webshell详解(原理、攻击、检测与防御)
m0_59162248的博客
12-13 5344
Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马。大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理webshell
应急响应-Webshell
weixin_45626840的博客
08-15 1566
shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马php?通过网络IO(socket API),获得cmdeval()将cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell
Nginx负载均衡及webshell
Mr_Rongyao的博客
08-17 211
Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马。大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理。
应急响应时一定需要排查webshell
07-14
正确。在应急响应过程中,排查Webshell是非常重要的一步。Webshell是黑客常用的一种攻击手段,通过在受攻击的网站或服务器上植入恶意脚本或程序,实现对目标系统的远程控制和操作。排查Webshell可以帮助发现潜在的安全漏洞和入侵行为,及时清除并修复受影响的系统,以保护系统和数据的安全。因此,对于应急响应来说,排查Webshell是必不可少的一项任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值