|
标准应急响应处置流程及应急处置案例
一、标准应急处置流程
标准应急处置流程是按照事件确认---->事件抑制---->事件处置---->原因分析---->总结报告---->结束跟踪流程来完成的。具体如下:
二、应急处置案例
1、问题描述
主机ip/域名 | 192.168.1.72 | 入侵主机情况描述 | 网站被黑链 | 主要服务用途及应用 | Web服务器 | 入侵后行为表现 | 访问某个链接会跳转到黑链页面 | 安全防护措施 | 无 |
2、事件排查过程
2.1 异常现象确认
2.2 处置分析过程 1、在网站目录下找到heiye.html页面,发现如下: 查看页面创建时间为2019年9月19日,12:40:52,如下:
先对heiye.html页面进行备份,跟客户确认没问题后对该页面进行删除。
2、使用D盾对服务其进行扫描,扫描结果如下图所示: 发现存在shell.asp后门,根据扫描到的路径进行找到shell.asp文件,如下: 查看shell.asp文件创建时间为2019年9月19日,12:37:49 跟客户确认没问题后把shell.asp文件进行删除。
1、首先找web日志存放位置,如下:
使用notepad++工具打开web访问日志,然后根据黑业heiye.html进行搜索web访问日志,如下:
根据以上访问日志可以判断攻击者IP 192.168.1.253在12:41:08访问heiye.html成功,判断可能是攻击者验证黑页是否创建成功的行为 2、根据攻击IP 192.168.1.253查看攻击者访问的日志如下: 然后把攻击者192.168.1.253访问的日志复制到新的文档里。 3、根据黑业heiye.html创建时间12:40:52,在192.168.1.253访问的日志文档里进行搜索如下: 根据上面日志判断是攻击者 192.168.1.253在12:40:52通过shell.asp创建了heiye.html。 4、根据shell.asp创建时间12:37:49进行搜索结果如下: 根据查询的日志分析判断攻击者在12:37:49,通过/admin/Admin_Page.asp页面执行了CreateFile的动作创建了shell.asp 5、通过访问/admin/Admin_Page.asp跳转到了网站后台登录页面/admin/Admin_login.asp,如下图所示: 所以判断攻击者是登录到了网站后台做了相应的恶意行为 6、搜索/admin/Admin_login.asp日志,结果如下图所示: 根据上图检索的日志发现只有5条POST请求的日志,最早是再12:22:09请求的,最后一次是在12:30:59,并且第一次请求302跳转成功,可以判断是通过弱口令进来的。通过后台网站默认账号密码登录查看结果如下: 测试确实可以成功登录后台。
3、应急响应事件结论 根据排查结果,结论如下: 攻击者192.168.1.253通过弱口令成功登录后台页面,在12:37:49通过后台创建了shell.asp文件。然后在12:40:52通过webshell工具连接了shell.asp创建了heiye.html。在12:41:08成功访问了heiye.html面,验证黑业heiye.html创建成功。
4 系统中存在的安全隐患 (1)网站后台存在弱口令 (2)网站后台框架存在漏洞 (3)网络中没有安全设备进行安全服防护
5 安全加固和改进建议 5.1 系统加固建议 (1)修改后台密码为强口令或采用二次认证校验 (2)网站动易框架升级最新版本,及时打漏洞补丁 5.2 产品加固建议 (1)增加防火墙对业务攻击进行拦截防护 (2)增加安全终端EDR对上传的webshell进行查杀拦截,以及服务器安全服防护
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-12-5 11:19
技术专家1级 
