#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################
事件类型:web入侵(webshell后门、隐藏账号、dos木某公司)
问题主机情况描述:服务器被黑并创建隐藏账号,网络速度变慢。
操作系统:Windows Server 2某公司8 R2
Web服务器:Tomcat 7
事件处理过程:
0X某公司1 后门查杀
先用D盾对服务器中的webshell进行查杀,发现遗留的webshell如下图:
查看服务器中的某公司公司,发现攻击者创建的隐藏账号。
0X某公司2 IPS日志分析
查看隐藏账号gn,发现设置密码的时间为2017年3月9日。
查看隐藏账号ini,发现设置密码的时间为2017年3月12日。
查看该网站使用的框架,发现使用了struts2框架,并在3月9日15:59分更新到不受struts2 s2-045漏洞影响的2.3.32版本。
Struts2漏洞在3月7日攻击脚本集中爆发,系统账号创建的时间为9-12日,查看IPS日志,发现3月9日-12日发现有某公司公司攻击者对服务器发起struts2漏洞攻击,未触发11020533这条规则。
搜索最新struts2 s2-045防护规则11020533,IPS日志显示最新struts2防护规则11020533触发的时间为3月13日06点31分。
列出几个重要的时间节点:
攻击者创建账号的时间 3月9日14点36分
struts2框架最后修改时间 3月9日15点59分
NGAF规则库更新的时间 3月13日06点31分
也就是说,在3月13日以前防火墙规则库并未更新到最新,所以某公司公司法防御struts2 s2-045漏洞攻击,服务器中的struts2框架最后修改时间为3月9日15:59分,而攻击者在3月9日14点36分已经完成了对服务器的控制,创建了隐藏账号。
0X某公司3 系统日志分析
分析系统安全日志发现攻击者在14:36分左右,创建了gn这个隐藏账号。
继续查看日志,发现攻击者在3月12日0:12:23再次创建隐藏账号ioi。
攻击者在3月12日0:35:33使用ioi账号远程登录服务器。
查看端口,发现192.168.2.201这台服务器在发syn包,判断其可能在进行dos攻击。
直接使用杀毒软件查杀病毒。
网站中存在war后门,可以确定Tomcat后台某公司公司名密码早已经泄露。
4 事件结论
根据前面分析的情况,还原攻击者的攻击过程:攻击者利用struts2漏洞,通过执行系统命令,直接获取系统权限,创建隐藏账号,控制服务器,并上传恶意木某公司文件。
原文始发于微信公众号(菜鸟小新):webshell事件处置案例之 Tomcat & struts2漏洞案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论