应急响应-Webshell-典型处置案例

于 2024-03-11 09:35:48 发布
阅读量544 收藏 8
点赞数 8
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50765147/article/details/136614996
版权
网站后台登录页面被篡改
事件背景

在2018年11月29日4时47分,某网站管理员发现网站后台登录页面被篡改,“中招”服务器为windows系统,应采用java语言开发,所使用的中间件为Tomcat。

事件处置
Webshell排查
  • 利用D盾对网站目录进行扫描,发现Webshell痕迹,如图所示。

  • 查看对应的文件内容,确认为Webshell,如图所示。

  • 通过D盾的扫描结果定位Webshell文件位于网站root更目录(\root\indexweb4.jsp),文件的创建时间为2018年11月23日5时55分,如图所示。

Web日志分析
  • 进一步分析Web日志。Web应用运行在Tomcat中间件上,查看Tomcat的配置文件server.xml,发现其中的日志配置项被注释,即未启用日志,因此导致无Web日志记录,如图所示。

  • 对系统后台进行人工排查,发现系统对互联网开放,且管理员与其他角色用户均使用相同弱密码“asd123”。系统显示攻击者在2018年11月29日4时47分左右通过网站管理后台对登录界面Logo进行了篡改。
  • 同时,经排查发现Tomcat中间件使用了弱密码“tomcat”,攻击者可以轻易登录probe监控系统,,如图所示。

系统排查
  • 查看服务器上的安全软件告警发现存在多次恶意进程执行记录,并请求恶意域名下载恶意程序。最早在2018年11月23日0时44分,该恶意程序就已在服务器上运行,如图所示。

  • 逆向分析病毒文件,查看此恶意程序攻击行为,可基本确定起对应挖矿木马特征,可见攻击者不仅篡改网页,同时还植入挖矿程序进行挖矿,如图所示。

系统日志分析
  • 通过事件查看器筛选安全日志(security.evtx),发现36979条审核记录,如图所示。

  • 分析系统登录日志发现,字2018年11月2日起至网页篡改发现时,存在大量RDP远程桌面暴力破解行为与IPC暴力破解攻击行为,且存在多个异常RDP远程桌面登录记录,涉及的源IP有125.68.10.14(四川德阳)、104.222.32.79(美国)、77.77.98.81(伊朗),说明此前已存在攻击者通过暴力破解RDP服务登录到服务器的情况,如图所示。

问题总结
  • 综上,对发现的线索梳理如下:
  • 服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;
  • Web 应用后台存在弱密码;
  • 中间件后台存在弱密码;
  • 服务器未开启 Web 日志记录功能;
  • 服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;
  • 服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
  • 综上分析,由于页面是通过后台 Logo 上传功能进行篡改的,因此推测攻击者在 2018 年 11 月 29 日通过后台弱密码登录系统并执行了篡改 Logo 操作。但在此前系统已经被入侵控制,甚至在 2018 年 11 月 2 日就已经被 RDP 暴力破解并被远程登录。由于服务器未开启 Web 日志记录功能,且存在较多漏洞,因此给溯源定位带来困难。
根除及恢复
  • 暂停相关业务服务,对遗留网页木马(Webshell)和攻击者攻击进行移除;
  • 对服务器启用的服务进行安全加固,关闭不用的端口和服务,减少攻击面;
  • 当前启用的服务器因未开启Web访问日志记录给溯源带来一定困难,后续应开启Web访问日志记录;
  • 避免使用弱密码,并定期对服务器进行病毒查杀,减少攻击面,提升服务器的安全防护能力。
Linux系统网站服务器被植入Webshell
事件背景
  • 2018年7月23日,某公司网站发现监测设备告警,提示存在Webshell连接,请求数据包内容如图所示。目标URL对应的服务器为Linux,Web应用开放语言为Java.

事件处置
Webshell排查
  • 通过告警定位到告警文件,查看文件内容,确认为Webshell后门,如图所示。

Webshell日志排查
  • 通过日志排查发现最早访问该Webshell的时间为2018年7月23日14时16分56秒,如图所示。

  • 但在对相关Web流量日志的前后项进行过滤后,并未发现异常的文件上传行为,因此初步排除通过Web途径对系统进行攻击的情况。
系统日志排查
  • 进一步对系统进行排查,在SSH登录日志中Webshell首次访问的相邻时间段,存在来自10.127.2.2的可疑登录记录,对应时间为2018年7月23日14时08分,如图所示。

文件排查
  • 经过与运维人员沟通,确认运维人员在该时间段内并未使用该IP地址登录服务器。同时对该IP地址登录时间内产生的相关文件进行检索,发现在临时目录中存在Nmap扫描日志文件/tmp/1.xml,如图所示。

其他关联主机的排查
  • 随后转向对主机10.127.2.2进行排查,发现该主机部署禅道管理系统,并对外提供访问。在进行系统进程排查时发现存在可疑进行a,尝试主动连接至远程主机123.59.118.220,如图所示。

  • 进程启动时间为2018年7月23日14时39分,如图所示。

  • 继续对上述相关进程文件进行检索,发现对应路径文件已被删除,通过复制文件内存副本发现该进程实际上为Termite(白蚁)远程控制工具,如图所示。

  • 排查分析系统文件发现,在/storage/www/html/zentaopms/www/目录下存在Webshell后门文件help123.php,如图所示。

  • 通过对访问该文件的相关Web流量日志记录进行检索,发现在2018年7月20日15时09分02秒,有来自121.205.7.237的可疑访问记录。进一步对该服务器Web日志进行分析,发现该IP地址登录后台并上传Webshell记录。由于该服务器更换过地址,因此流量设备并未记录到该服务器流量,如图所示。

  • 推测攻击者先登录禅道管理系统后台,通过系统文件管理功能,向 IP 地址为10.127.2.2 的禅道管理系统上传 Webshell 后门,并植入相关远程控制程序。然后,以此服务器为跳板主机,通过 SSH 管理服务,使用 root 用户登录到“中招”目标服务器,向目标服务器中植入 Webshell 后门,并对内网其他主机进行扫描探测。
问题总结
  • 综上,对发现的线索梳理如下:
  • 在 2018 年 7 月 23 日 14 时 16 分 56 秒,目标服务器发现存在 Webshell访问;
  • 在 2018 年 7 月 23 日 14 时 08 分,目标服务器出现来自 10.127.2.2 的异常 SSH 登录;
  • 在服务器 10.127.2.2 中存在远控程序,远控 IP 地址为 123.59.118.220,且在 2018 年 7 月 20 日 15 时 18 分 01 秒发现 Webshell 文件 help123.php;
  • 从服务器 10.127.2.2 的日志中发现,121.2 05.7.237 在 2018 年 7 月 20 日15 时 09 分 02 秒从后台上传 help123.php。
  • 结合以上线索推理,本次 Webshell 安全事件的攻击 IP 地址为 121.205.7.237,远控 IP 地址为 123.59.118.220。2018 年 7 月 20 日,攻击者首先通过禅道管理系统后台上传 Webshell 及远控程序,实现对服务器 10.127.2.2 的控制,然后以此服务器为跳板,在 2018 年 7 月 23 日通过 SSH 远程连接到目标服务器,并上传Webshell 及恶意程序发起进一步对内网的扫描。
根除及恢复
  • 服务器断网,清理发现的Webshell及恶意程序;
  • 对服务器进行安全加固,更改应用及系统密码,升级所使用的禅道管理系统,修补漏洞;
  • 带清理完成确认安全后,重新部署上线。
Windwos系统网站服务器被植入Webshell
事件背景
  • 2019年12月26日,某单位被上级监管单位通报存在挂马现象,网站应用存在可疑Webshell访问,网站服务器为Windows系统,使用PHP开发语言。
事件处置
Webshell排查
  • 利用D盾扫描网站目录,发现Webshell痕迹,扫描结果如图所示。

Web日志分析
  • 分析相应时间范围内的的Web应用日志,发现攻击者在2019年5月26日,通过管理后台访问到编辑器,并且成功上传带有恶意Webshell代码的图片文件,但未成功入侵,如图所示。

  • 在2019年6月14日09时22分37秒,攻击者通过目录猜解工具成功猜解到网站部署的探针文件,如图所示。

  • 在2019年6月14日09时22分48秒,攻击者成功登录phpmyadmin管理后台,如图所示。

  • 在2019年6月14日09时23分41秒,攻击者通过phpmyadmin,利用MySQL数据库特性向服务器写入网站后门文件“520.php”,如图所示。

  • 在2019年6月14日09时24分33秒,攻击者访问写入服务器的后门文件,并且利用后门文件再次写入一个后门文件“c321.php”,如图所示。

  • 2019年6月16日04时02分08秒,攻击者成功上传新的后门文件“mow4125ang.php”,如图所示。

  • 2019年6月16日20时40分51秒,攻击者修改系统模板文件,生成新的后门文件,隐藏“function.cycle.php”,如图所示。

系统排查
  • 系统排查无异常,攻击者仅上传了Webshell操作。
问题总结
  • 综上,对发现的线索梳理如下:
  • 2019 年 5 月 26 日,攻击者成功上传带有恶意代码的图片,但未成功入侵;
  • 2019 年 6 月 14 日,攻击者通过 phpmyadmin 管理后台成功登录,通过操作数据库成功向服务器写入后门文件,获取服务器控制权限。
  • 结合以上线索推理,IP 地址为 202.***.***.10 的攻击者在 2019 年 6 月 14 日通过 phpmyadmin 管理后台向服务器写入 Webshell,实现对服务器的控制,未对操作系统做恶意操作。
根除及恢复
  • 对被入侵的服务器进行下线处理;
  • 清除攻击者上传成功的恶意代码和后门文件;
  • 对 Web 应用进行补丁升级和漏洞修复;
  • 加强登录密码复杂度,并添加登录验证措施;
  • 同时通过网络安全设备对网站进行防护。
岁月冲淡々
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查 被入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
luci-app-webshell_1-1_all.ipk
08-17
我也不知道怎么搞的,上一个webshell 会在网页上产生一个错误,是xrh.js使用上出现的错吴。我记得自己测试通过的呢,这个是我修正后自己生成的。这个应该兼容大多数的平台,只有一个主页,一个lua。我也不知道怎么写人,源码放在https://github.com/wjcroom/luci-app-webshell
wazuh-webshell检测规则
最新发布
12-20
wazuh_webshell检测规则
D盾-webshell检测必备工具
07-09
D盾是目前最为流行和好用的web查杀工具,同时使用也简单方便,在web应急处置的过程中经常会用到。D盾的功能比较强大, 最常见使用方式包括如下功能:1、查杀webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是在处理web甚至是病毒的过程中可能都会用到。
云服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程
06-30 5173
云服务器出现了可疑安全事件:包含WEBSHELL代码的日志/图片文件 处理流程
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 6万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
webshell详解
w17791476027的博客
08-03 3483
概念webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门文件,得到一个命令执行环境,以达到控制网站服务器的目的。从字面上来说,webshell单词可以拆成webshell。其中web即服务器所开放的web服务。Shell即命令执行环境,用户与服务器操作系统交互的接口。
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9419
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
WebShell是什么?如何抵御WebShell?
a38417的博客
08-10 2308
WebShell是黑客经常使用的一种恶意脚本,原理就是利用Web服务器自身的环境运行的恶意代码。就是通过WebShell脚本的上传,利用网页服务程序实现操控服务器的一种方式。以PHP语言为例,只需要编写一个简单的PHP代码文件,上传到网站目录中,就可以对网站服务器进行操控,包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门,让黑客可以随意地执行任意代码。Webshell是通过服务器开放的端口获取服务器的某些权限。...
容器网页终端(websocket-webshell
09-23
Java WebSockt DockerSSH Html5 Tomcat8 等技术写的WebShell 容器网页终端 传统websockt终端和容器化终端解决方案!
webshell
阳光梦的专栏
06-04 1425
漏洞原理                                                                                                 文件上传功能本身是一个正常的业务需求,对于网站来说,很多时候需要用户将文件上传到服务器,例如上传自定义头像,文件共享,发送邮件时添加附件,文件备份与恢复。所以“文件上传”本身没有问题,有
网络安全应急响应----9、WebShell应急响应
七天
03-23 8104
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
阿里云提醒 网站被WebShell木马后门的处理过程
网站安全专家
01-10 6660
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx...
Webshell事件应急演练预案
时光漫步
08-28 919
网络拓扑 红方环境 kali linux2.0、burpsuite、nmap、Terminal、Meterpreter等 蓝方环境 Windows 7、Windows Server 2003、安全狗、D盾、远程连接工具等 红方-侦查小组,开始对目标网络10.1.1.0/24进行主机扫描 鼠标右击桌面弹出菜单栏,选择open in terminal打开命令模式,也可以在右边菜单选择 红方-侦查小组使用nmap -sP 10.1.1.0/24 命令对同网段进行扫描。 红方-侦查小组成功发现同网段存活3台主机
阿里云紧急安全事件 发现后门webshell文件解决方案
weixin_34256074的博客
01-10 2962
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell***文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站***文件的路径地址:/www/wangzhan/safe/ind...
如何解决您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马...
weixin_34235135的博客
06-21 573
早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒018-06-20 09:20:49尊敬的***网:您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马,您可以登录虚拟主机控制台-对应主机的"管理"文件管理-网站木马查杀功能确认是否为恶意文件,相关帮助文档请参考网站木马查...
web安全之文件上传漏洞攻击与防范方法
u014609111的博客
09-29 5万+
一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下
应急响应webshell
10-27
应急响应webshell指的是对于网络攻击中利用Web应用漏洞植入的恶意脚本进行应急处理及消除的过程。 首先,当发现系统中存在Webshell时,需要立即进行紧急处置。首要任务是确定受到攻击的服务器是否被完全控制,并尽快切断服务器与外部网络的连接,防止进一步的恶意操作和信息泄漏。 接着,需要分析并确定Webshell的来源,包括被攻击的Web应用程序、操作系统的漏洞或者网络设备的安全风险等,以便进一步修复漏洞和强化系统安全防护。 在查杀Webshell时,可以通过以下步骤进行: 1. 隔离受感染的服务器,确保不会进一步感染其他系统。 2. 分析Webshell的特征和行为,并使用防病毒软件进行扫描查杀。 3. 删除或修复被攻击的Web应用程序,修复系统漏洞,同时更新操作系统和相关补丁,加强系统安全性。 4. 对服务器上的所有账号密码进行修改,并确保使用强密码策略,以防止重新被攻击。 5. 监控服务器日志,确定是否有其他的疑似入侵行为,及时采取应对措施。 6. 恢复服务器服务,重启Web服务和其他相关服务。 最后,应对Webshell攻击的关键是预防。加强安全意识培训,及时更新和升级系统和应用程序,部署防火墙、入侵检测系统等安全设备,进行定期安全审计和漏洞扫描,并配置合理的安全策略和权限控制,以最大程度减少Webshell的攻击风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值