本帖最后由 汤汤啊 于 2019-1-21 19:32 编辑
一次简单的webshell社工溯源 客户:某市某公司 事件:安全感知平台爆出网站首页服务器有黑链 问题描述:安全感知平台发现web服务器存在黑链,怀疑已经沦陷,存在webshell后门 服务器:windows server 2008 r2 web版本:iis6 问题处理: 今天接到销售反馈说,来某公司继续处理一下安全事件,今天着重处理一下门户网站的服务器,登录平台后,直奔网站服务器,已经看到10级失陷,而且检测到黑链,如下图:
抓紧登录对应服务器,祭出D盾以及某公司webshell专杀,一顿操作,发现,事情没这么简单
发现这么多感染,怀疑不是一个老哥所为,再看一眼创建时间,霍,17.4.10号,windows日志是看不到了,只能是瞅了几眼后门文件,是过狗菜刀的一句话,还有部分黑页截图,如下图:
正愁不能溯源的时候,登陆防火墙的waf日志看了一眼,发现,哦吼,我在查着,居然还有人在实时的进行webshell上传攻击,盘他一波,这个黑客还挺嚣张,在字段中把自己的信息都放进去了,如下图:
接着拿出百度搞一波,发现还真能搜到,不加域名,只加QQ又搜了一波,收获还是很丰富的,贴吧以及其他资料映入眼帘,如下图:
这样基本就确定了老哥的年纪,地方,以及学校,发现还是个做黑灰产的,反正不是一个白客,得到这些怎么能满足,继续盘他,查他QQ之前记录的域名,发现这个域名进行了变更,已经查不出来了,如下图:
那不能就这么放弃了,查了一下贴吧,还真发现了另外的好东西,顺势一搜,备案以及姓名,电话,就都出来了,如下图:
发现,这个人还在宣传另一个网站,www.link****.com,直接查一波备案信息,发现想姓名和贴吧名称wsguangcheng还真对上了,扔到微步跑一跑,还发现了此人名下另一个网站,而且使用的是小国家的pw域名,很少有人进行监管,注册简单,如下图:
QQ号搜索到的微信以及手机号的微信号
至此,基本可以确定这个小黑客,是个做黑灰产的,应该在23左右 总结信息 姓名:冯广成 性别:男 年龄:20-24之间 手机号:1718013**** QQ号:317275***/ifgc@*** 微信号:同手机号 曾读过的学校:石家庄三职专,观察贴吧发现以及备案号,正好也是相吻合,可以推测此人为河北石家庄人 这些信息已经交接给客户处,是否报警,由客户进行判断 处理意见: 1.检查到的webshell后门,已经进行清除,建议客户定期更换服务器密码,强度为8-16位大小写字母+数字+特殊符号组合 2.建议客户打上iis6漏洞补丁,如能升级iis,建议升级 3.排查中还发现了挖矿病毒,定位清除掉后,建议客户打ms17-010补丁 4.建议客户采购数据中心区防火墙,进行IPS WAF 僵尸网络防护
| 
发表于 2019-1-21 19:30
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
