×

webshell事件处理-简单社工
  

汤汤啊 9881

{{ttag.title}}
本帖最后由 汤汤啊 于 2019-1-21 19:32 编辑

                                                            一次简单的webshell社工溯源

客户:某市某公司

事件:安全感知平台爆出网站首页服务器有黑链

问题描述:安全感知平台发现web服务器存在黑链,怀疑已经沦陷,存在webshell后门

服务器:windows server 2008 r2

web版本:iis6

问题处理:

今天接到销售反馈说,来某公司继续处理一下安全事件,今天着重处理一下门户网站的服务器,登录平台后,直奔网站服务器,已经看到10级失陷,而且检测到黑链,如下图:

抓紧登录对应服务器,祭出D盾以及某公司webshell专杀,一顿操作,发现,事情没这么简单

发现这么多感染,怀疑不是一个老哥所为,再看一眼创建时间,霍,17.4.10号,windows日志是看不到了,只能是瞅了几眼后门文件,是过狗菜刀的一句话,还有部分黑页截图,如下图:

正愁不能溯源的时候,登陆防火墙的waf日志看了一眼,发现,哦吼,我在查着,居然还有人在实时的进行webshell上传攻击,盘他一波,这个黑客还挺嚣张,在字段中把自己的信息都放进去了,如下图:

接着拿出百度搞一波,发现还真能搜到,不加域名,只加QQ又搜了一波,收获还是很丰富的,贴吧以及其他资料映入眼帘,如下图:

这样基本就确定了老哥的年纪,地方,以及学校,发现还是个做黑灰产的,反正不是一个白客,得到这些怎么能满足,继续盘他,查他QQ之前记录的域名,发现这个域名进行了变更,已经查不出来了,如下图:

那不能就这么放弃了,查了一下贴吧,还真发现了另外的好东西,顺势一搜,备案以及姓名,电话,就都出来了,如下图:

发现,这个人还在宣传另一个网站,www.link****.com,直接查一波备案信息,发现想姓名和贴吧名称wsguangcheng还真对上了,扔到微步跑一跑,还发现了此人名下另一个网站,而且使用的是小国家的pw域名,很少有人进行监管,注册简单,如下图:


QQ号搜索到的微信以及手机号的微信号

至此,基本可以确定这个小黑客,是个做黑灰产的,应该在23左右

总结信息

姓名:冯广成

性别:男

年龄:20-24之间

手机号:1718013****

QQ号:317275***/ifgc@***

微信号:同手机号

曾读过的学校:石家庄三职专,观察贴吧发现以及备案号,正好也是相吻合,可以推测此人为河北石家庄人

这些信息已经交接给客户处,是否报警,由客户进行判断

处理意见:

1.检查到的webshell后门,已经进行清除,建议客户定期更换服务器密码,强度为8-16位大小写字母+数字+特殊符号组合

2.建议客户打上iis6漏洞补丁,如能升级iis,建议升级

3.排查中还发现了挖矿病毒,定位清除掉后,建议客户打ms17-010补丁

4.建议客户采购数据中心区防火墙,进行IPS WAF 僵尸网络防护




打赏鼓励作者,期待更多好文!

打赏
5人已打赏

nihongliang 发表于 2019-1-21 21:36
  
本帖最后由 nihongliang 于 2019-1-21 21:41 编辑

这哥们光明正大的来找你们呢
我是大笨蛋 发表于 2019-1-21 22:53
  
公开自己的qq、域名、电话。人家都骑在脸上了,这你不打回去。 我出火车票。D1612 时间刚刚好。
新手084394 发表于 2019-2-13 12:05
  
你是从请求的网页从看出来的?这个网页后对应的信息在网上还真全
新手084394 发表于 2019-2-13 12:11
  
本帖最后由 新手084394 于 2019-2-13 12:17 编辑

这年头 会攻击别人的没啥,但是攻击后会隐藏自己所有信息的人才牛逼
余泳杰 发表于 2019-2-21 14:50
  
长知识了哈哈哈哈
feeling 发表于 2019-2-21 16:07
  
楼主把黑客扒出来了,厉害
新手756451 发表于 2019-5-22 10:31
  
夺宝计划周三任务点赞一
ytfqyjj 发表于 2021-1-5 13:59
  
感谢楼主分享,期待楼主分享更多实用笔记
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人