2 事件排查过程2.1 异常现象确认2.1 处置分析过程发现网站内容被篡改后,首先找到配置文件,使用编辑器查看该文件的内容,确认和黑链显示的一致,恢复业务系统,如图:
与此同时记录文件被修改的时间,如图:
然后使用D盾工具进行webshell安全检查,如图:
查杀后发现在网站的**目录下存在可疑文件xiaoma.asp,级别为5,说明极其危险。我们进入网站后台找到该目录,发现在目录中确实存在该文件,如图:
此时,我们需要先将这个文件进行删除:
删除后再次进行webshell查杀,查杀结果正常:
再次访问之前的URL,页面显示正常了:
2.3 溯源分析网站页面恢复正常后,我们进行相关日志的收集和攻击事件的溯源。
通过后台可以看到文件修改的时间为2020-7-22的11:36分,如图:
Webshell文件xiaoma.asp最后修改的时间为2020-7-22的11:31分,如图:
由于网站平台没有记录log日志,所以我们分三个方面排查,分别是1.系统漏洞;2.主机暴力破解;3.应用非法登录。
1.首先用软杀进行病毒和漏洞查杀,都显示正常:
2.由于系统开放了3389端口,所以查看系统日志是否存在暴力破解的情况,打开“服务器管理器”-“诊断”-“事件查看器”-“Windows日志”-“安全”,可以看到有大量密码错误的日志:
一直到10:52分,但一直没有成功;另外,可以确认主机名为DESKTOP-QQF0MLN的主机存在异常:
说明攻击者可能没有通过爆破进入操作系统。
3. 查看网站应用是否存在可以的攻击点,通过扫描可以看到网站对外有发布管理控制台,如图:
在浏览器输入URL后,发现可以打开:
首先使用常用帐号密码登录一下,发现帐号密码是默认的***,如图:
可以看到在管理控制台可以对网站做各种修改和文件上传,到目前为止,攻击者很有可能是通过管理控制台进入到应用后台,然后进行数据修改。
所以,我们怀疑是攻击者通过工具扫描到用户网站管理控制台,然后利用弱密码登录成功,然后通过管理控制台上传webshell文件,修改网页内容,最终导致出现错误页面。
3 应急响应事件结论根据排查结果,结论如下:
1. 网站根目录下主页页面内容被修改,导致用户在访问的时候出现错误提示;
2. 网站根目录**下被上传一句话木马,然后攻击者通过外连工具进行控制;
3. 溯源发现网站管理控制台映射在外,并且存在默认密码,判断可能通过弱密码登录管理后台上传小马。
4 系统中存在的安全隐患1. 网站管理员后台暴露在外,容易被扫描登录界面,容易被爆破。
2. 网站管理控制台存在弱密码风险。
3. 网站管理控制台存在密码泄露的风险。
4. 网站未部署安全防护设备,无法有效防护类似webshell之类的应用层攻击。
5. 服务器可能还存在其他风险点,需进一步进行风险评估。
5 安全加固和改进建议1. 建议服务器的网站管理后台设置因子认证方式,并设置强密码,定期修改。
2. 网站管理控制台不对外开放,系统进行访问 。
3. 服务器前端建议增加web应用防火墙,对业务进行安全防护。
4. 服务器建议进行风险评估,检查未知风险点。
5. 关闭服务器的3389端口,防止爆破登录。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-10-5 13:19
技术员3级