#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################.
客户名称:某高校
事件类型:web入侵
问题主机描述:服务器被黑客入侵,留下了刷比特币的恶意文件,并发生网络卡顿的情况。
服务器ip:xxx.xxx.xxx.xx
服务器用途:某高校门户网站
防护情况:服务器前面没有部署相关的安全设备,服务器处于裸奔状态。
事件处理过程:
网站被黑了,我们首先利用webshell查杀工具D盾,扫描网站目录,在xxx.xxx.xxx.xx中,发现一枚2016年5月20日的webshell。
查看网站的日志,发现日志被删除了(如果存在网站日志的话,可以通过UE、Notepad++等工具的高级搜索功能,去日志中查询,看攻击者是否访问过webshell),通过沟通了解到服务器中的weblogic中间件在2016年下半年打过Java反序列化的补丁,而Java反序列化的利用工具在2016年年初就已经普及,攻击者可以通过Java反序列化漏洞直接上传木马,获取webshell。控制服务器。
排查源文件,发现分别在2015年12月5日,2016年1月19日,2016年3月1日分别有攻击者上传了恶意的war包,其中1zs5qd.war为测试文件,其他两个iceword.war和UpdateServer.war均为webshell后门。
继续排查weblogic中的文件,发现时间为2016年12月27号的uddiexplorer.war包,存在该war包,攻击者可以利用SSRF漏洞攻击(详情请参考猪猪侠的SSRF漏洞自动化利用)网络变卡可能与攻击者利用SSRF进行内网扫描有关。
查看web日志,发现以前的日志已经被删除,只剩下27号的日志,日志中未发现访问webshell的迹象。
Weblogic中被上传了war包,可以判断攻击者已经知道weblogic的登录密码,通过weblogic后台上传war包获取webshell。
综合以上的信息,xxx.xxx.xxx.xx 的攻击路径为:
攻击者利用weblogic后台用户名密码登录后台—>上传war包获取webshell—>控制服务器—>利用SSRF漏洞扫描内网其他主机—>入侵其他主机
利用Java反序列化漏洞上传jsp木马—>获取webshell—>控制服务器—>利用SSRF漏洞扫描内网其他主机—>入侵其他主机
依此类推,处理其他web中间件,如jboss、websphere等发生的类似安全问题,与之类似。
原文始发于微信公众号(菜鸟小新):webshell事件处置案例-Weblogic排查案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论