应急实战(11):被嫌弃的Windows服务器

admin 2024年10月15日10:01:32评论16 views字数 1370阅读4分34秒阅读模式

目录

1. Prepare
    1.1 开启日志记录
    1.2 优化日志策略
    1.3 部署安全设备
2. Detect
    2.1 设备产生告警
3. Contain
4. Eradicate
    4.1 删除WebShell后门
    4.2 加固弱口令帐号
    4.3 未发现其他后门
5. Recover
    5.1 恢复日志记录

6. Follow-Up

公众号后台发送“20241015”获取本次事件的日志文件

1. Prepare

1.1 开启日志记录

开启sysmon日志记录    

应急实战(11):被嫌弃的Windows服务器

开启apache日志记录

应急实战(11):被嫌弃的Windows服务器

开启mysql日志记录    

应急实战(11):被嫌弃的Windows服务器

1.2 优化日志策略

优化security日志覆盖策略    

应急实战(11):被嫌弃的Windows服务器

1.3 部署安全设备

部署主机安全产品:牧云HIDS    

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

2. Detect

2.1 设备产生告警

2024-10-14 06:59:05,牧云检测到WebShell后门

应急实战(11):被嫌弃的Windows服务器

捕获WebShell一枚:

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

除此之外牧云没有其他告警

3. Contain

上机排查,没有发现需要遏制的异常网络连接    

应急实战(11):被嫌弃的Windows服务器

没有需要遏制的异常进程    

应急实战(11):被嫌弃的Windows服务器

4. Eradicate

4.1 删除WebShell后门

删除C:phpStudy2016WWWphpMyAdminsetupframessystem.php

应急实战(11):被嫌弃的Windows服务器

4.2 加固弱口令帐号

排查apache日志,发现香港IP地址103.163.208.105执行过如下攻击行为:

1、获取phpinfo.php文件,猜测是为了获取Web根路径,为后续上传WebShell做准备
2、弱口令登录phpMyAdmin管理后台
3、查询环境变量、mysql库等基本信息
4、执行6条SQL语句

5、执行2条WebShell命令    

应急实战(11):被嫌弃的Windows服务器

由此可知攻击者利用的漏洞是phpMyAdmin弱口令,修改为强口令即可    

应急实战(11):被嫌弃的Windows服务器

4.3 未发现其他后门

排查mysql日志,可知攻击者执行的6条SQL语句是:

1、禁用数据库日志功能:set global general_log= 'off'
2、启用数据库日志功能:set global general_log= 'on'
3、修改数据库日志文件:SET global general_log_file ='C:/phpStudy2016/WWW/phpmyadmin/setup/frames/system.php'
4、向数据库日志文件写入WebShell :SELECT ''    
5、修改数据库日志文件:SET global general_log_file ='C:/phpStudy2016/WWW/phpmyadmin/themes/original/xx.log'

6、禁用数据库日志功能:set global general_log= 'off'

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

其中第3条SQL语句可在apache日志中得到验证    

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

排查sysmon日志,可知攻击者执行的2条WebShell命令是:

1、查看操作系统版本:ver          
2、查看物理内存大小:wmic ComputerSystem get TotalPhysicalMemory
   

应急实战(11):被嫌弃的Windows服务器

应急实战(11):被嫌弃的Windows服务器

2条WebShell命令的实际执行结果如下

应急实战(11):被嫌弃的Windows服务器

由此可知攻击者有点嫌弃这台服务器,并未开展其他攻击行为    

5. Recover

5.1 恢复日志记录

恢复mysql日志记录功能。恢复前:

应急实战(11):被嫌弃的Windows服务器

恢复后:    

应急实战(11):被嫌弃的Windows服务器

6. Follow-Up

不涉及    

原文始发于微信公众号(OneMoreThink):应急实战(11):被嫌弃的Windows服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月15日10:01:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急实战(11):被嫌弃的Windows服务器https://cn-sec.com/archives/3268918.html

发表评论

匿名网友 填写信息