【每日一记10】+第5天+WEB服务器应急响应演练
  

Anony 29334人觉得有帮助

{{ttag.title}}
之前做的一个web应急响应演练报告,给大家分享一下,由于是内部演练,所以不足之处希望多多见谅!
1 环境概述1.1 网络拓扑信息
890595f4a0e572e047.png
网络环境为一简单二层架构,出口为上网行为管理,下接核心交换机;内部分技术部和市场部办公用户;服务器为核心上面的独立区域,未做安全防护。
1.2 攻击现场环境
操作系统:windows 2008 R2
中间件:ASPServer环境
应用类型:学校官网
1.3 客户问题描述
284125f4a0f003d9d2.png
1.4 事件处置结果
160395f4a0f2487367.png
2 事件排查过程2.1 异常现象确认
访问网站URL:http://***/index.asp,会显示黑链页面,如下所示:
897865f4a0f42dba0e.png
2.1 处置分析过程
发现网站内容被篡改后,首先找到配置文件,使用编辑器查看该文件的内容,确认和黑链显示的一致,恢复业务系统,如图:
40815f4a0f5d45a61.png
与此同时记录文件被修改的时间,如图:
52435f4a0f6848795.png
然后使用D盾工具进行webshell安全检查,如图:
61535f4a0f72c002b.png
查杀后发现在网站的**目录下存在可疑文件xiaoma.asp,级别为5,说明极其危险。我们进入网站后台找到该目录,发现在目录中确实存在该文件,如图:
774685f4a0f828d906.png
此时,我们需要先将这个文件进行删除:
303865f4a0f8d92ed9.png
删除后再次进行webshell查杀,查杀结果正常:
991915f4a0f9dba687.png
再次访问之前的URL,页面显示正常了:
527895f4a0faa07e86.png
2.3 溯源分析
网站页面恢复正常后,我们进行相关日志的收集和攻击事件的溯源。
通过后台可以看到文件修改的时间为2020-7-22的11:36分,如图:
15575f4a0fc5cc54d.png
Webshell文件xiaoma.asp最后修改的时间为2020-7-22的11:31分,如图:
25885f4a0fd1b630e.png
由于网站平台没有记录log日志,所以我们分三个方面排查,分别是1.系统漏洞;2.主机暴力破解;3.应用非法登录。
1.首先用软杀进行病毒和漏洞查杀,都显示正常:
957045f4a0fe48e400.png
2.由于系统开放了3389端口,所以查看系统日志是否存在暴力破解的情况,打开“服务器管理器”-“诊断”-“事件查看器”-“Windows日志”-“安全”,可以看到有大量密码错误的日志:
271555f4a0ff0d85af.png
一直到10:52分,但一直没有成功;另外,可以确认主机名为DESKTOP-QQF0MLN的主机存在异常:
808155f4a0ffd6bbe7.png
说明攻击者可能没有通过爆破进入操作系统。
3. 查看网站应用是否存在可以的攻击点,通过扫描可以看到网站对外有发布管理控制台,如图:
855205f4a100cb5f20.png
在浏览器输入URL后,发现可以打开:
936095f4a101752db6.png
首先使用常用帐号密码登录一下,发现帐号密码是默认的***,如图:
987135f4a10236e736.png
可以看到在管理控制台可以对网站做各种修改和文件上传,到目前为止,攻击者很有可能是通过管理控制台进入到应用后台,然后进行数据修改。
所以,我们怀疑是攻击者通过工具扫描到用户网站管理控制台,然后利用弱密码登录成功,然后通过管理控制台上传webshell文件,修改网页内容,最终导致出现错误页面。
3 应急响应事件结论
根据排查结果,结论如下:
1. 网站根目录下主页页面内容被修改,导致用户在访问的时候出现错误提示;
2. 网站根目录**下被上传一句话木马,然后攻击者通过外连工具进行控制;
3. 溯源发现网站管理控制台映射在外,并且存在默认密码,判断可能通过弱密码登录管理后台上传小马。
4 系统中存在的安全隐患
1. 网站管理员后台暴露在外,容易被扫描登录界面,容易被爆破。
2. 网站管理控制台存在弱密码风险。
3. 网站管理控制台存在密码泄露的风险。
4. 网站未部署安全防护设备,无法有效防护类似webshell之类的应用层攻击。
5. 服务器可能还存在其他风险点,需进一步进行风险评估。
5 安全加固和改进建议
1. 建议服务器的网站管理后台设置因子认证方式,并设置强密码,定期修改。
2. 网站管理控制台不对外开放,系统进行访问
3. 服务器前端建议增加web应用防火墙,对业务进行安全防护。
4. 服务器建议进行风险评估,检查未知风险点。
5. 关闭服务器的3389端口,防止爆破登录。

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

云中骏马 发表于 2020-10-5 13:19
  
实操精彩,又是弱密码
司马缸砸了光 发表于 2020-11-15 10:20
  
感谢分享,很详细
司马缸砸了光 发表于 2020-11-16 10:25
  
产品不错
新手517842 发表于 2020-11-20 12:16
  
感谢分享
新手078326 发表于 2020-11-22 16:36
  
感谢分享,很详细
新手780102 发表于 2020-11-23 15:34
  
实操精彩
新手031815 发表于 2020-12-1 09:11
  
不错的分享
磊大发 发表于 2021-4-17 08:49
  
感谢分享  学习一下
新手741261 发表于 2021-4-21 10:19
  
必须赞一个,技术好文!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

汤汤啊

本周分享达人

kmyd

本周提问达人