webshell事件处置案例—struts2漏洞导致服务器沦陷

#############################

免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无关。

##############################

客户名称：某市某公司门

事件类型：web入侵

问题主机描述：某市某公司门官方网站中被插入了一个文件xc.txt文本显示的是一个攻击者的qq，在web日志中未发现上传记录。

服务器操作系统：Linux Centos

数据库：Oracle

web服务器：Tomcat

网站用途：市某公司门官方网站

服务器现象：攻击者留下一个QQ号码。

事件处理过程：

0X001 struts2漏洞导致服务器沦陷

网站被黑，使用webshell查杀工具D盾进行后门查杀，将服务器中的代码拷贝到windows系统中，对网站中的webshell进行查杀，发现存在的webshell如下图：

在查杀过程中发现最早的webshell后门可以追溯到2014年5月3日。

对系统进行查杀，发现一个反弹shell，(bash反弹shell)，如下图：

发现系统反弹shell到139.162.124.175，查询发现该ip地址来自荷兰。

根据客户的反馈：3月11日攻击者插入QQ.txt文件，3月11日NGAF正常防护，而且系统操作日志没有异常操作，网站访问日志3月11日该文件就get请求了一次12号14号也请求一次，并没有看到上传记录。

查看IPS日志，发现在3月11日、12日日志中出现大量的structs2漏洞攻击记录。

仔细查看IPS日志，在拦截的structs2漏洞攻击中并未出现最新的规则。也就是在3月11号、12号的日志中未发现新的structs2规则11020533被触发，客户在16号对NGAF进行升级（联系客户的时候，客户对规则库进行的更新，并且更新成功），查询所有日志发现新的structs2规则11020533在16号被攻击者触发，16号下午14:21分左右利用攻击脚本去测试时发现，IPS新的规则已经生效。

Structs2漏洞在3月7日攻击脚本公开爆发的时候，攻击者即利用攻击脚本对服务器进行Structs2漏洞攻击，写入webshell （下图几个多功能大马写入的时间均为3月7日），获取服务器权限，而最新的防护规则则是在16日NGAF升级之后才被触发。

此时，可以确定，最新规则库是16号才更新的，在3月7日，黑客是利用最新的structs2 s20-045漏洞，上传了webshell。

tomcat日志分析

利用notepad++筛选出访问过webshell的ip地址，发现有多个攻击者（113.93.84.199、58.22.101.143、180.153.160.24等）对webshell进行过访问。

利用notepad++筛选出访问过tomcat日志中kjy.jsp这个后门的ip地址，发现在现有日志中没有攻击者访问过，所以推测攻击者不是通过以前的这个后门来控制服务器。

针对xc.txt这个文件，排查tomcat日志，发现日志中有2个ip地址223.151.55.58、203.208.60.208访问过xc.txt这个文件。

对223.151.55.58进行分析，使用微步在线查询发现该ip来自湖南常德。

对203.208.60.208进行分析，分别利用ip138、站长之家和微步在线，对该ip地址进行查询分析，发现该ip地址属于谷歌爬虫。

可以推测223.151.55.58为攻击者使用的代理IP地址，在日志中查找该IP地址的行为，发现该IP地址的访问记录仅仅是争对xc.txt这个文件，未发现其他访问记录（其中3月11日的日志被攻击者删除），结合上面的排查情况，Structs2漏洞在3月7日攻击脚本公开爆发，猜测攻击者可能3月11日直接利用攻击脚本对服务器进行Structs2漏洞攻击，获取了服务器的权限，控制服务器，写入xc.txt文件，12日对其进行访问，看txt文件是否存在，服务器返回200。

0X002 历史遗留后门导致服务器被挂暗链

不久，服务器再次被入侵并植入暗链，查看攻击者创建的页面，确实是外链广告页面。

找出访问过黑客创建的广告页面的ip地址，发现58.62.234.168、66.249.79.143这两个ip地址大量访问广告页面。（显示访问前10位的IP地址，便于查找攻击源：cat access_log |awk ‘{print $1}’|sort|uniq -c|sort -nr|head -10）

微步在线分析下66.249.79.143这个IP地址，结果是搜索引擎爬虫。

筛选出58.62.234.168的访问记录发现在不断的访问/manager/200.jsp这个文件，怀疑这是个后门。

访问下200.jsp这个文件，发现其果然是后门。

查看200.jsp的上传时间，3月7日，根据3月17日的排查结果，该后门为漏网之鱼，为攻击者通过structs2漏洞创建。（之后对服务器进行全盘查杀，未发现其他后门）

原文始发于微信公众号（菜鸟小新）：webshell事件处置案例—struts2漏洞导致服务器沦陷