本帖最后由 SSEC 于 2017-6-16 01:02 编辑
客户名称:某高校 事件类型:web入侵 问题主机描述:服务器被黑客入侵,留下了刷比特币的恶意文件,并发生网络卡顿的情况。 服务器ip:xxx.xxx.xxx.xx 服务器用途:某高校门户网站 防护情况:服务器前面没有部署相关的安全设备,服务器处于裸奔状态。 事件处理过程: 网站被黑了,我们首先利用webshell查杀工具D盾,扫描网站目录,在xxx.xxx.xxx.xx中,发现一枚2016年5月20日的webshell。
查看网站的日志,发现日志被删除了(如果存在网站日志的话,可以通过UE、Notepad++等工具的高级搜索功能,去日志中查询,看攻击者是否访问过webshell),通过沟通了解到服务器中的weblogic中间件在2016年下半年打过Java反序列化的补丁,而Java反序列化的利用工具在2016年年初就已经普及,攻击者可以通过Java反序列化漏洞直接上传木马,获取webshell。控制服务器。 排查源文件,发现分别在2015年12月5日,2016年1月19日,2016年3月1日分别有攻击者上传了恶意的war包,其中1zs5qd.war为测试文件,其他两个iceword.war和UpdateServer.war均为webshell后门。
继续排查weblogic中的文件,发现时间为2016年12月27号的uddiexplorer.war包,存在该war包,攻击者可以利用SSRF漏洞攻击(详情请参考猪猪侠的SSRF漏洞自动化利用)网络变卡可能与攻击者利用SSRF进行内网扫描有关。 查看web日志,发现以前的日志已经被删除,只剩下27号的日志,日志中未发现访问webshell的迹象。
Weblogic中被上传了war包,可以判断攻击者已经知道weblogic的登录密码,通过weblogic后台上传war包获取webshell。 综合以上的信息,xxx.xxx.xxx.xx 的攻击路径为: 攻击者利用weblogic后台用户名密码登录后台—>上传war包获取webshell—>控制服务器—>利用SSRF漏洞扫描内网其他主机—>入侵其他主机 利用Java反序列化漏洞上传jsp木马—>获取webshell—>控制服务器—>利用SSRF漏洞扫描内网其他主机—>入侵其他主机 依此类推,处理其他web中间件,如jboss、websphere等发生的类似安全问题,与之类似。 weshell事件处理——structs2漏洞导致服务器沦陷 | 
发表于 2017-6-6 16:29
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
