守望者团队于近期检测到针对某IDC托管的多个互联网网站的Webshell批量探测攻击事件,虽然大部分的攻击都属于攻击尝试,我们依然获取到了一些攻击信息,本次分析通过纰漏一部分的攻击信息旨在重申互联网安全的重要性。
1、攻击源列表
以下为主要的攻击源地址,其中肯定有部分地址是肉鸡,攻击者通过这些机器来控制webshell,隐藏自身。针对受害者部分信息做了掩码屏蔽。
|
序号 |
攻击来源IP |
IP所属区域 |
攻击目标 |
攻击次数 |
|
1 |
1.202.70.159 |
中国 北京 北京 |
http://www.****monxx.cn |
2 |
|
2 |
101.87.147.206 |
中国 上海 上海 |
http://www.***yxx.com |
3 |
|
3 |
103.242.2.138 |
中国 香港 |
http://www.****xx.cn |
4 |
|
4 |
106.2.238.23 |
中国 北京 北京 |
http://www.****cxx.com |
6 |
|
5 |
106.2.238.30 |
中国 北京 北京 |
http://www.****cxx.com |
5 |
|
6 |
108.162.222.202 |
CLOUDFLARE CLOUDFLARE |
http://www.****xx.com |
6 |
|
7 |
108.162.222.217 |
CLOUDFLARE CLOUDFLARE |
http://bbs.****xx.cn |
2 |
|
8 |
108.162.222.240 |
CLOUDFLARE CLOUDFLARE |
http://www.****xx.com |
14 |
|
9 |
111.79.240.240 |
中国 江西 赣州 |
http://www.****xx.org.cn |
1 |
|
10 |
112.66.15.6 |
中国 海南 海口 |
http://www.****liexx.com |
4 |
|
11 |
112.66.16.4 |
中国 海南 海口 |
http://www.un****ixx.com |
328 |
|
12 |
112.66.189.44 |
中国 海南 海口 |
http://www.****xx.cn |
159 |
|
13 |
112.67.44.85 |
中国 海南 儋州 |
http://www.****choxx.com.cn |
550 |
|
14 |
115.151.206.44 |
中国 江西 萍乡 |
http://www.****xx.cn |
9 |
|
15 |
115.151.215.119 |
中国 江西 萍乡 |
http://www.****xx.cn |
11 |
|
16 |
115.151.234.112 |
中国 江西 萍乡 |
http://www.****xx.cn |
3 |
|
17 |
115.153.167.179 |
中国 江西 萍乡 |
http://www.****xx.cn |
19 |
|
18 |
115.159.114.99 |
中国 上海 上海 |
http://www.****xx.org.cn |
6 |
|
19 |
115.214.239.59 |
中国 浙江 宁波 |
http://m.huatuoxx.com |
1 |
|
20 |
118.184.13.92 |
中国 香港 |
http://www.****choxx.com.cn |
122 |
|
21 |
118.193.144.5 |
中国 香港 |
http://www.****xx.org.cn |
5 |
|
22 |
118.193.155.109 |
中国 香港 |
http://news.****xx.cn |
114 |
|
23 |
118.193.250.40 |
中国 香港 |
http://admin.****xx.org.cn |
4 |
|
24 |
120.26.218.40 |
中国 浙江 杭州 |
http://www.un****ixx.com.cn |
61 |
|
25 |
122.193.14.85 |
中国 江苏 南京 |
http://bbs.****lixx.com.cn |
4 |
|
26 |
122.228.18.229 |
中国 浙江 温州 |
http://www.****.org.cn |
3 |
|
27 |
123.57.37.192 |
中国 北京 北京 |
http://cph***shxx.com |
2 |
|
28 |
124.126.153.231 |
中国 北京 北京 |
http://www.****monxx.cn |
1 |
|
29 |
124.232.163.27 |
中国 湖南 长沙 |
http://www.****choxx.com.cn |
34 |
|
30 |
125.47.161.180 |
中国 河南 平顶山 |
http://www.***yxx.com |
30 |
|
31 |
139.203.111.152 |
中国 四川 南充 |
http://www.****xx.org.cn |
2 |
|
32 |
14.111.119.29 |
中国 重庆 重庆 |
http://www.****choxx.com.cn |
118 |
|
33 |
14.18.253.17 |
中国 广东 广州 |
http://admin.****xx.org.cn |
1 |
|
34 |
14.18.253.23 |
中国 广东 广州 |
http://www.****xx.org.cn |
1 |
|
35 |
14.18.253.4 |
中国 广东 广州 |
http://www.****xx.cn |
1 |
|
36 |
14.18.253.9 |
中国 广东 广州 |
http://admin.****xx.org.cn |
3 |
|
37 |
150.129.80.28 |
中国 香港 |
http://www.****xx.org.cn |
3 |
|
38 |
153.36.24.105 |
中国 江苏 徐州 |
http://www.****xx.cn |
1 |
|
39 |
158.69.26.8 |
加拿大 加拿大 |
http://www.****xx.org.cn |
9 |
|
40 |
173.245.48.248 |
美国 美国 |
http://bbs.****xx.cn |
2 |
|
41 |
173.245.49.118 |
美国 美国 |
http://www.****xx.com |
24 |
|
42 |
173.245.49.122 |
美国 美国 |
http://xueqian.****xx.com |
15 |
|
43 |
173.245.49.161 |
美国 美国 |
http://zaojiao.****xx.com |
8 |
|
44 |
173.245.49.166 |
美国 美国 |
http://it.****xx.com |
12 |
|
45 |
173.245.49.170 |
美国 美国 |
http://ysx.****xx.com |
13 |
|
46 |
173.245.49.171 |
美国 美国 |
http://ysdm.****xx.com |
15 |
|
47 |
173.245.49.172 |
美国 美国 |
http://ysdm.****xx.com |
22 |
|
48 |
173.245.49.175 |
美国 美国 |
http://open.****xx.com |
12 |
|
49 |
173.245.49.177 |
美国 美国 |
http://my.****xx.com |
10 |
|
50 |
173.245.49.178 |
美国 美国 |
http://sales.****xx.com |
19 |
|
51 |
173.245.49.181 |
美国 美国 |
http://photo.****xx.com |
10 |
|
52 |
173.245.49.186 |
美国 美国 |
http://daili.****xx.com |
31 |
|
53 |
173.245.49.192 |
美国 美国 |
http://auto.****xx.com |
34 |
|
54 |
173.245.49.218 |
美国 美国 |
http://caiwu.****xx.com |
14 |
|
55 |
173.245.49.221 |
美国 美国 |
http://lesson.****xx.com |
5 |
|
56 |
173.245.49.227 |
美国 美国 |
http://bbs.****xx.com |
19 |
|
57 |
173.245.49.229 |
美国 美国 |
http://kaoji.****xx.com |
19 |
|
58 |
173.245.49.236 |
美国 美国 |
http://itrz.****xx.com |
34 |
|
59 |
173.245.49.240 |
美国 美国 |
http://software.****xx.com |
16 |
|
60 |
173.245.62.220 |
美国 美国 |
http://ysdm.****xx.com |
25 |
|
61 |
174.139.82.226 |
美国 美国 |
http://www.****liexx.com |
214 |
|
62 |
175.2.252.237 |
中国 湖南 娄底 |
http://www.****liexx.com |
1 |
|
63 |
182.106.193.226 |
中国 江西 萍乡 |
http://www.newsnxx.com.cn |
15 |
|
64 |
182.99.234.7 |
中国 江西 萍乡 |
http://www.photocpxx.com |
11 |
|
65 |
182.99.246.30 |
中国 江西 萍乡 |
http://www.icsc18xx.org |
27 |
|
66 |
198.13.97.19 |
美国 美国 |
http://www.****xx.org.cn |
2 |
|
67 |
199.27.133.117 |
美国 美国 |
http://bbs.****xx.cn |
8 |
|
68 |
199.27.133.243 |
美国 美国 |
http://bbs.****xx.cn |
5 |
|
69 |
210.56.51.140 |
中国 香港 |
http://www.****xx.org.cn |
5 |
|
70 |
212.7.220.16 |
波兰 波兰 |
http://bbs.pr****nlixx.com.cn |
3 |
|
71 |
212.83.174.81 |
法国 法国 |
http://www.****xx.cn |
109 |
|
72 |
212.83.185.167 |
中国 江西 吉安 |
http://www.****liexx.com |
22 |
|
73 |
220.176.150.14 |
中国 江西 吉安 |
http://bbs.pr****onlixx.com.cn |
2 |
|
74 |
220.179.8.189 |
中国 安徽 安庆 |
http://admin.****xx.org.cn |
6 |
|
75 |
220.191.36.49 |
中国 浙江 杭州 |
http://www.****xx.cn |
3 |
|
76 |
221.204.207.149 |
中国 山西 太原 |
http://www.****xx.org.cn |
5 |
|
77 |
222.180.23.30 |
中国 重庆 重庆 |
http://www.****choxx.com.cn |
37 |
|
78 |
222.186.26.219 |
中国 江苏 镇江 |
http://www.****choxx.com.cn |
14 |
|
79 |
222.216.190.167 |
中国 广西 南宁 |
http://www.****xx.com |
2 |
|
80 |
222.216.190.179 |
中国 广西 南宁 |
http://www.****xx.com |
2 |
|
81 |
222.216.190.203 |
中国 广西 南宁 |
http://www.****xx.com |
32 |
|
82 |
222.216.190.215 |
中国 广西 南宁 |
http://www.****xx.com |
4 |
|
83 |
222.216.190.227 |
中国 广西 南宁 |
http://www.****xx.com |
2 |
|
84 |
222.216.190.233 |
中国 广西 南宁 |
http://www.****xx.com |
32 |
|
85 |
223.99.163.243 |
中国 山东 济南 |
http://www.***yxx.com |
16 |
|
86 |
45.113.253.45 |
中国 湖南 长沙 |
http://bbs.printonlixx.com.cn |
1 |
|
87 |
45.118.252.80 |
中国 香港 |
http://www.****xx.cn |
4 |
|
88 |
58.242.208.143 |
中国 安徽 合肥 |
http://www.****xx.cn |
78 |
|
89 |
60.28.224.73 |
中国 天津 天津 |
http://www.****xx.org.cn |
31 |
|
90 |
124.248.229.3 |
中国 香港 |
http://www.****xx.cn |
19 |
|
91 |
61.147.96.23 |
中国 江苏 扬州 |
http://www.****xx.cn |
61 |
|
92 |
62.210.24.103 |
法国 法国 |
http://www.****xx.cn |
109 |
|
93 |
62.210.26.175 |
法国 法国 |
http://www.****xx.cn |
40 |
|
94 |
62.210.26.242 |
法国 法国 |
http://www.****xx.org.cn |
59 |
2、Webshell样本名称及密码
捕获的webshell样本名称及密码如下表。
我们可以看到webshell的访问者密码的特点:
1、简单,有很多的一位密码#、*等。
2、很多密码的特征很有意思:比如与个人虚拟身份有关,以qq号为密码;
有些密码带有明显的习惯caonima、diaosi、fuck、niyade等;
|
Websehll文件名 |
密码 |
|
1.asp |
# |
|
1.aspx |
* |
|
1.php |
-12 |
|
11m.php |
-5 |
|
12.php |
-7 |
|
1234.php |
-guige |
|
14.asp |
-lov |
|
1ndex.php |
0 |
|
1zz17.asp |
-yijianmei |
|
360.php |
0x7a |
|
400.asp |
1 |
|
404.asp |
110 |
|
404.php |
12345 |
|
465456.php |
1351 |
|
90000.php |
2 |
|
909.php |
QQ24566XX |
|
90sec.php |
222 |
|
90sec1.php |
258688 |
|
Ac2.asp;.jpg |
4 |
|
AchievementsShow.php |
511348 |
|
Admin_Ta.asp |
520 |
|
AspCms_Config.asp |
555 |
|
Codie.asp |
574797 |
|
Functie.asp |
731046538 |
|
July_inc.php |
7tian |
|
Log.php |
86 |
|
Mycool.php |
8868 |
|
ProductList.php |
888888 |
|
Somnus.asp |
890 |
|
SqlIn.asp |
9527 |
|
Thumb.asp |
? |
|
a.asp |
COLD1 |
|
a.aspx |
Charset |
|
a.php |
Cne123 |
|
aboutus.php |
FENG |
|
ad_js.php |
Pu667W |
|
admin.lnc.php |
SSqxyLCg |
|
admin.php |
Submit |
|
admin_inc.php |
Viper |
|
adminlista.php |
XfeIdao |
|
aik.php |
Y |
|
articleedit.php |
Z |
|
aspcms_conn.asp |
a |
|
av.php |
a123 |
|
backup.php |
aaaadmin |
|
***du.asp |
abc123 |
|
***du.php |
admin |
|
bakup.php |
ass |
|
ballData.php |
b4dboy |
|
bao.php |
***du |
|
bbs.****et.cn |
byc |
|
bdunion.php |
c |
|
bftvp15111.asp;.jpg |
caonima |
|
bh.php |
cc |
|
c.php |
chen |
|
cache.asp |
cls |
|
caijiu.asp |
cmd |
|
callbackUrl.html |
cmd10 |
|
candeng.php |
cmd25 |
|
cattree.php |
cmd9 |
|
cere.php |
cmder |
|
ces.php |
cool |
|
checkConn.asp |
csk |
|
checkinq.php |
css |
|
chongzhi.html |
dede |
|
class.php |
diaosi |
|
comsent_ajax.php |
dxri |
|
config.file.list.php |
e7xue |
|
config.inc.php |
earl |
|
config.php |
easyhost |
|
config_pay_fszo.php |
echosmallhe |
|
conn.asp |
error |
|
conn.php |
fee |
|
connst.asp |
fu1686 |
|
cookie.helpea.php |
fuck |
|
count.php |
fuwu |
|
crazy8(1).jpg |
g |
|
csk.php |
gold |
|
css.asp |
good |
|
css.php |
guige |
|
da.php |
guohui |
|
danqiuData.php |
hd |
|
data.php |
hec |
|
db.php |
hello |
|
dede.php |
hkmke |
|
dedevoteinc.php |
i0day |
|
diaosi.php,diaosi |
in |
|
digg.php |
jj |
|
digg_ad.php |
july |
|
door.php |
k |
|
dsi.php |
k9v |
|
dunjie.asp |
keio |
|
e7xue.php |
key |
|
echo.php |
kkkmmm |
|
editor.php |
laobiao |
|
en.php |
lemon |
|
error.asp |
lianxun |
|
fanben.php |
lists |
|
feedback.php |
long |
|
filter.helpear.php |
m |
|
flenk.php |
m7lrv |
|
flink_del.php |
martin |
|
frt1.php |
mb |
|
fszo.php |
mm |
|
fucc.php |
moon |
|
fuck.php |
mybak |
|
fund.lib.php |
mycak |
|
get_top.php |
nimabi123 |
|
gold.asp |
niyade |
|
gua.php |
omg |
|
guatui.asp |
p |
|
guige.php |
pa |
|
helen.php |
pan123 |
|
help.asp |
pas |
|
help.php |
pass |
|
hkmke.php |
php |
|
hongfeng.php |
pige |
|
inCahe.php |
pop123 |
|
inc.asp |
py888 |
|
inc_caoni.php |
q |
|
index.asp |
qazwsx |
|
index.php |
qiufeng |
|
index_.asp |
qq972t |
|
info.php |
qx |
|
infoguide.php |
red |
|
infor.php |
rekcah |
|
install_top.php |
resp |
|
ixve.php |
rgt |
|
js.php |
rmb2014 |
|
june.asp;.jpg |
s8868 |
|
jycpcx.asp;.jpg |
sfmb |
|
kefu.php |
shenz |
|
keng.php |
shezhang |
|
kuilianwei.PhP |
sixgod |
|
laobiao.php |
slhack |
|
liang.php |
sos |
|
list.inc.php |
spider |
|
list.php |
sqzr |
|
list2.php |
sunliu |
|
list_tab.asp |
sz |
|
listaction.php |
t |
|
log.cer |
tag |
|
log.php |
task |
|
login.asp |
te |
|
login.php |
test |
|
long.class.php |
tongji |
|
long.php |
uest |
|
lpnxz37917.asp;.jpg |
un18 |
|
lrrpv51331.asp;.jpg |
vales |
|
ly.php |
wcf |
|
m.php |
web |
|
m7lrv.php |
wen |
|
main.widget.php |
wewin |
|
mcds.php |
whirlwind |
|
md5.php |
wooyun |
|
modurnlecscache.php |
x |
|
moon.php |
xf |
|
mp.php |
xiaoliang |
|
mu.php |
xin |
|
my_js.php |
xinsui |
|
mybak.php |
xise |
|
mycak.php |
xuwl4 |
|
myjs.php |
xx |
|
myshell.php |
xxcc123 |
|
mytag_j.php |
xxoo_1234 |
|
mytag_js.php |
xxx |
|
mytag_js.php?aid |
yexu |
|
mytagadd.php |
yfvip |
|
native1.php |
yfy |
|
newfile.php |
yijianmei |
|
news.asp |
ysh |
|
news.php |
yyy |
|
p.php |
zhb |
|
pai***dou.aspx |
zq787777 |
|
pic.asp |
zx100 |
|
playlist.asp |
zybzkz |
|
post.php |
|
|
pzuod68292.asp;.jpg |
|
|
qf.php |
|
|
qingtian.php |
|
|
qwe123.php |
|
|
random3.asp |
|
|
red.asp |
|
|
rom2823.php |
|
|
royal.php |
|
|
safe.php |
|
|
scan_con.asp |
|
|
select_config.php |
|
|
select_ieoft_post.php |
|
|
selecttempletspost.php |
|
|
service.php |
|
|
sfmb.php |
|
|
shell.asp |
|
|
shidui.PHP |
|
|
shijian.php |
|
|
shiyelian.php |
|
|
sho.asp |
|
|
shopex49.php |
|
|
shoulabel.php |
|
|
shv.php |
|
|
size.asp |
|
|
sky.php |
|
|
slhack.php |
|
|
snxv.php |
|
|
spider.php |
|
|
syspayment.php |
|
|
system.php |
|
|
t.php |
|
|
templetssky.php |
|
|
test.php |
|
|
testTime.php |
|
|
top.asp |
|
|
top.php |
|
|
tpl.php |
|
|
uddatasql.php |
|
|
uploadye.php |
|
|
var.php |
|
|
view.php |
|
|
viewnews.php |
|
|
vote_main.php |
|
|
wdir.php |
|
|
web.asp |
|
|
weki.asp |
|
|
weki.php |
|
|
wiki.php |
|
|
wisdom.php |
|
|
wooyun.php |
|
|
wqtmo76524.asp;.jpg |
|
|
x.asp;.html |
|
|
x.php |
|
|
xianf.asp |
|
|
xiaolei.php |
|
|
xinsui.php |
|
|
xm.php |
|
|
xsvip.php |
|
|
xuwn.php |
|
|
yanwenfen.asP |
|
|
ying.php |
|
|
yj.aspx |
|
|
yjh.php |
|
|
you.php |
|
|
ysh.php |
|
|
zappkey&.php |
|
|
zdqd.php |
|
|
zhan.asp |
|
|
zhanghui.aspx |
|
|
zhb.php |
|
|
zhong.PhP |
|
|
zip.php |
|
|
zzz.asp;.jpg |
3、攻击源&C2安全分析
我们对所有攻击来源进行了检测之后发现了数量惊人的有用信息,例如:我们在一个IP为124.248.***.*的服务器上发现存在一个HFS Server,该服务器存在有黑客使用的攻击工具和Webshell样本,应该是攻击者在拿下目标后通过该HFS当中转站进行攻击工具的下载。
通过烽火台提供的威胁情报平台Alice,对于该ip地址我们进行了情报关联,可以看到该ip地址的历史异常:
HFS Server 获取到的黑客工具信息
我们检索了其中几个文件的情况
攻击来源的检测信息(纰漏两个来源的端口开放信息):我们可以看到部分攻击源开放了代理端口。
通过获取的信息我们简单锁定了攻击者的qq号等身份信息:
4、受害者分析
通过中转服务器HFS,在日志发现更多受害服务器,以及上传工具的主机IP。上传的IP基本可以确定就是攻击者,下载的IP就是受害者。
这些IP地址可以结合地理位置做分布图
由于时间及投入问题,关于一些信息的更深入分析还在进行中,本次主要就初步的信息进行总结。
关于通过威胁情报更好的应用在安全防护工作中,守望者的感触如下亮点:
1、针对攻击事件分析中,可以使用外部威胁情报平台来进行深入溯源分析(最早攻击时间、使用了哪些域名、IP、whois中注册的email信息等)
2、威胁情报标准化提供设备机读,增强现有的检测及防护系统发现的能力,把安全隐患消灭在萌芽状态,阻止攻击者进行二次或多次攻击。
欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。
原文始发于微信公众号(守望者实验室):线索、挖掘、预警—基于威胁情报的一起Webshell的安全分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论