|
事件类型:web入侵(webshell后门、隐藏账号、dos木某公司) 问题主机情况描述:服务器被黑并创建隐藏账号,网络速度变慢。 操作系统:Windows Server 2某公司8 R2 Web服务器:Tomcat 7 事件处理过程: 0X某公司1 后门查杀 先用D盾对服务器中的webshell进行查杀,发现遗留的webshell如下图: 查看服务器中的某公司公司,发现攻击者创建的隐藏账号。 0X某公司2 IPS日志分析 查看隐藏账号gn,发现设置密码的时间为2017年3月9日。 查看隐藏账号ini,发现设置密码的时间为2017年3月12日。 查看该网站使用的框架,发现使用了struts2框架,并在3月9日15:59分更新到不受struts2 s2-045漏洞影响的2.3.32版本。 Struts2漏洞在3月7日攻击脚本集中爆发,系统账号创建的时间为9-12日,查看IPS日志,发现3月9日-12日发现有某公司公司攻击者对服务器发起struts2漏洞攻击,未触发11020533这条规则。 搜索最新struts2 s2-045防护规则11020533,IPS日志显示最新struts2防护规则11020533触发的时间为3月13日06点31分。 列出几个重要的时间节点: 攻击者创建账号的时间 3月9日14点36分 struts2框架最后修改时间 3月9日15点59分 NGAF规则库更新的时间 3月13日06点31分 也就是说,在3月13日以前防火墙规则库并未更新到最新,所以某公司公司法防御struts2 s2-045漏洞攻击,服务器中的struts2框架最后修改时间为3月9日15:59分,而攻击者在3月9日14点36分已经完成了对服务器的控制,创建了隐藏账号。 0X某公司3 系统日志分析 分析系统安全日志发现攻击者在14:36分左右,创建了gn这个隐藏账号。
继续查看日志,发现攻击者在3月12日0:12:23再次创建隐藏账号ioi。 攻击者在3月12日0:35:33使用ioi账号远程登录服务器。 查看端口,发现192.168.2.201这台服务器在发syn包,判断其可能在进行dos攻击。 直接使用杀毒软件查杀病毒。 网站中存在war后门,可以确定Tomcat后台某公司公司名密码早已经泄露。 4 事件结论 根据前面分析的情况,还原攻击者的攻击过程:攻击者利用struts2漏洞,通过执行系统命令,直接获取系统权限,创建隐藏账号,控制服务器,并上传恶意木某公司文件。
| 
发表于 2017-6-13 10:43
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
