真假Webshell：我找到了问题主机，却被全公司通报批评……<软文>

 

收到公司发出的“关于给予平台运维部黄xx通报批评的决定”时，很多同事居然没第一时间想到是我。

因为平时大家都叫我黄药师，虽是运维工程师，但兼顾网络安全的活儿，电脑有广告弹窗、中木马病毒了，“找黄药师，他有药”，不到三个月，同事只知黄药师，不知黄xx。至于我为何兼顾网络安全，原因很简单，我司主营基金业务，规模虽小，安全要求可不低，但又没人又没钱，我一介运维也要做安全。

而我被通报批评的原委是这样的：

某个周日，我正准备找人开黑，突然手机接到告警：内网某主机发现JSP Webshell。顾不得口吐芬芳，赶紧开电脑、连VPN、登录某安全设备管理后台，找到告警及详情：发现Web目录下某个JSP多次调用了系统命令，判断是高危Webshell。

迅速找到问题主机，属于研发部门，立即给领导谢哥和研发部门老王打电话，谢哥着急的声音几乎被人类幼崽的尖叫声淹没了，他艰难地叮嘱我要快速处理，一定要避免范围扩散。

“搞不定，你就提头来见！”

但我给老王打电话时，打了好几遍都没人接。

由于担心攻击者横移到其他主机上，蔓延内网造成不可挽回的损失，所以，我就把这台主机断网了……然而，没多久，研发老王的电话就火急火燎地过来了：“为什么我这有台主机连不上了？”

就是被告警的那台主机！

一通解释，拿到了账号密码，远程登录排查问题主机，并没有找到Webshell。最后终于定位到问题，由于代码不规范，直接调用系统命令，被判定为恶意。

虚惊一场！我有些埋怨老王，代码就不能写规范点吗？随意调用系统命令，迟早会出问题的。

没想到老王反倒火大了：“老子每周996拼命赶进度，正在向领导汇报演示，关键时刻却被你个运维拖后腿？你再搞出这种事，就给我提头来见！”

最后闹到大领导那里，虽然谢哥据理力争，我还是被通报批评，谢哥只能告诫我以后操作要谨慎，要多理解同事们的难处。

只剩我一个人凌乱……这样下去不行，一定要有改变。我打开微信，找出一个沉寂许久的对话框：“你上次说的‘那个’，真管用吗？”

对面很快回复：“你试试看，不管用，我就提头来见！”

又一个晚上，我在公司加班。刚忙完就接到告警，又是Webshell！

熟悉的开头，是“狼来了”的故事，还是狼真的来了？这一次我没有急匆匆地处理，而是打开了“那个”——一个显示着“OneEDR”字样的页面。

首先确认是否真实告警。我快速登录到OneEDR主机安全管理后台，找到相应的告警详情，直接展示了Webshell文件中的代码片段（如下图），这显然非研发“捣乱”，而是真的Webshell攻击。

 

为避免泄密业务数据，上图为实验室环境中复现攻击过程时截图（下同）

然后分析入侵行为。注意上图中的“日志溯源 ”按钮，只要点击这个按钮，就能够直接、快速查看这个Webshell创建前后10分钟的所有系统记录，如下图：

通过分析这些日志，可以找到攻击者是如何入侵的，以及入侵后进行了哪些操作，这一步至关重要，直接关系到后续的处置环节。OneEDR能够找出与Webshell事件相关的操作，并显示攻击者所用的命令，下图就展示了攻击者入侵所用的命令：

攻击者一定是个“惯犯”！因为没有其他多余的行为，只是植入木马，然后试图在内网横向探测并移动，所图甚大！而这也意味着攻击者一旦成功，公司的损失也就更大。

分析并确定影响范围。OneEDR在3台主机上的不同目录中都检出了这个Webshell文件，如下图：

这张图透露出两则信息：首先，攻击者在入侵10.53.4.222这台主机之后，将同一个Webshell复制到了另外两个不同的目录下，通过复制、隐藏木马文件企图实现长期控制该主机的目的；而在另外两台主机上找到相同的Webshell，意味着攻击者横移成功。

那么还剩下最后一个问题：那么攻击者是如何实现横移的呢？是弱密码，研发老王常用的弱密码，最直接的证据是， OneEDR找到了攻击者利用SSH远程登录到另外两台主机的日志记录，如下图，攻击者利用SSH+弱密码远程登录问题主机，注意登录IP，经X社区查询，这是一个国外IP，且已被判断为恶意：

到此，证据链齐全，我拨通了谢哥的电话，展示了我的证据。谢哥登录OneEDR确认后，便让我找老王进行后续的清理步骤。

我找到老王时，他还在加班，头都没抬地说：“怎么？新上传的代码又不规范了？”

我没和他掰扯，单刀直入道：“这次是真的Webshell攻击，文件在10.53.4.222这台主机的“home”和“www”目录下，文件名是shell.jsp；并且，由于你使用的弱密码被攻击者破解了，在172.16.1.210和192.168.102.52这两台主机上也有这个Webshell。”

老王神色一下子严肃起来，用cd命令打开222这台主机对应的目录，果然有shell.jsp这个文件，cat命令显示代码，确实是恶意代码。随后我把3台主机及Webshell所在目录等信息都发给了老王，并不忘揶揄他：

“今年的网络安全大考可是快到了，要是因为弱密码被打穿出局，你还是准备提头去见大领导吧。”

第二天，刚打开电脑，就收到了研发部抄送全公司的感谢邮件，感谢我发现并遏制了网络攻击，及时阻止了公司数据外泄，保住了公司最新业务的机密。

我默默看完邮件，然后准备给谢哥打申请：在所有服务器、虚拟机以及云主机上都用上OneEDR。

· END ·

 

 

原文始发于微信公众号（微步在线）：真假Webshell：我找到了“问题主机”，却被全公司通报批评……