记一次web应急事件处置

作者:xlx

原文地址:https://secvul.com/topics/1239.html


近日接到同事反馈,客户Web服务器被植入了大量的博彩页面,客户提供的页面截图如下,查了一晚上,这里记录下排查的过程。

《记一次web应急事件处置》

先索取出事网站的域名,搜索引擎查看下快照情况,发现搜狗上面依旧存在博彩的快照,但是博彩页面已经无法正常访问。

《记一次web应急事件处置》

索取服务器的远程登录进去看看出事网站的目录如下,登录到服务器上面的时候,管理员已经讲博彩的页面全部删除掉了,只给留下一些参考的样本,客户表示博彩页面的创建时间是5月2日。

《记一次web应急事件处置》

样本如下所示,http://js.dabofa888.com/bofa.js目前已经无法访问。

《记一次web应急事件处置》

《记一次web应急事件处置》

出事服务器的网络拓扑情况如下,IPS、WAF全部过期,中间还有某司的云盾,这里管理员说忘记画出来了,被植入博彩的是台静态网页的服务器,另外有台CMS服务器,静态服务器中的网页由该服务器发布过去,CMS服务器的情况是已经无法正常的登录,只能通过单用户的模式进行登录。

《记一次web应急事件处置》

搜索下静态页面服务器中是否存在php文件,果然发现文件,看下时间,还是2017年10月份的。

《记一次web应急事件处置》

看下文件的内容,是个绕WAF的后门,不知道的将内容直接复制到百度即可。

《记一次web应急事件处置》

再搜索下服务器,发现了几个jsp和jspx的后门,原来该服务器之前跑过tomcat,之前出过问题,所以会发现jsp的后门。

《记一次web应急事件处置》

《记一次web应急事件处置》

《记一次web应急事件处置》

根据发行的几个后门,搜索下日志,看是否存在访问后门的行为,搜索发现没有访问后门的迹象,证明此次的博彩问题并非通过这个历史遗留的后门进来。

《记一次web应急事件处置》

查看系统登录日志,发现距离出事较近的5月1日的时候,172.16.200.35和172.16.200.34这两个ip地址在尝试登陆,但是都没有登录成功,与管理员沟通,管理员表示172.16.200.34为其他部门的业务服务器,但是还未对外开放。

《记一次web应急事件处置》

基于此情况,向管理员获取172.16.200.34服务器的远程权限,用僵尸网络查杀工具进行全盘查杀。发现该服务器上存在大量恶意文件。

《记一次web应急事件处置》

对恶意文件进行排查,发现cc.zip文件,EDR工具直接提示该文件为MS15-051提权工具。证明该服务器已经被早已经被黑客攻击,该文件是攻击者攻击后所遗留的痕迹。服务器上的大部分恶意文件的创建时间都为4月30号23:点之后到5月1日凌晨之间,说明在4月30号至5月1号的时候黑客才真正的开始了目的在于植入博彩页面的攻击。

《记一次web应急事件处置》

由于该后门的位置是在chrome的默认下载文件夹中,将SSH去后门版本放入virustotal查杀,59个厂商报毒,可见该后门并不免杀,由此可知该文件不是服务器管理员下载的,而是黑客放置到上面,准备连接内网静态网页服务器的前置动作。

《记一次web应急事件处置》

排查172.16.200.34服务器的安全日志,重点分析4月30-5月2号期间的所有登陆日志,发现在此期间172.16.200.35多次登陆到172.16.200.34服务器。追溯日志文件,发现从4月26号就有登陆172.16.200.34服务的行为。尤其在每天的凌晨登陆频率尤为频繁。一般登陆时间为零点之后。

《记一次web应急事件处置》

4月30日172.16.200.35在22:08再次访问172.16.200.34服务器。

《记一次web应急事件处置》

4月30日172.16.200.35在23:27直接远程登录172.16.200.34服务器。

《记一次web应急事件处置》

登录之后23:28分黑客再次植入后门,试图长期控制服务器。

《记一次web应急事件处置》

23:46分,黑客解压去后门ssh文件,便于之后通过该工具去连接2台网站服务器。

《记一次web应急事件处置》

联系管理员获得172.16.200.35的远程连接,这是一台Linux服务器。搜集了上次登陆该服务器的用户列表信息。该列表中,含有大量公网IP的登陆成功状态。最近登录该服务器的公网ip地址是114.242.48.109,在4月26号的时候成功进入到系统中,而刚才排查172.16.200.34服务器,发现早在4月26日凌晨172.16.200.35即登录过172.16.200.34,可知172.16.200.35这台服务器早就已经被多个黑客攻陷。

《记一次web应急事件处置》

《记一次web应急事件处置》

提取最近登陆该服务器的外网ip:114.242.48.109进行情报分析,通过微步在线分析该结果的情报类型为僵尸网络垃圾邮件服务器,说明入侵者使用了大量代理服务器作为跳板进行攻击来增加排查的难度。

《记一次web应急事件处置》

翻看172.16.200.35的服务器登陆日志,日志中含有大量外网ip登陆失败的信息,说明攻击者通过不同的代理利用ssh账号爆破的方式进入了该系统。以下截图是4月29号凌晨3点多进行爆破服务器的ssh的情况,基于之前已经有成功登陆的情况说明,确实不止一个黑客对该服务器进行了攻击。

《记一次web应急事件处置》

由于客户内网中发布网页用的CMS服务器不能够远程,只能单用户登录,服务器ip为172.16.250.51。该台主机是静态网页服务器(172.16.250.23)的推送端。用户只能够使用单用户的模式登陆查看。经过协商,用户拍了系统的部分日志,证明含有大量后门的Windows主机(172.16.200.34)在5月1日24点左右的样子登陆过该主机。

《记一次web应急事件处置》

至此我们基本可以回溯出黑客的攻击线路,服务器172.16.200.35该服务器早在2017年就已经被黑,该主机早已经是黑客的一台肉鸡。在2018年4月26号的时候,有攻击者通过172.16.200.35作为跳板机进入到了服务器172.6.200.34这台windows服务器。4月30号的时候攻击者通过172.16.200.34尝试连接了一次172.16.200.35持续的时间为0,证明并未做其他操作。4月30号-5月1号这段时间,黑客发起重点攻击,上传提权工具,并利用172.16.200.35作为跳板,远程登录到windows服务器172.6.200.34,之后植入SSH后门工具尝试连接172.16.250.23这台Linux静态网页服务器,5月1号黑客也不忘尝试用172.16.200.35这台肉鸡去连接Linux静态网页服务器172.16.250.23,黑客通过这2台肉鸡尝试登录172.16.250.23均未成功,最后在5月1日接近24点时,黑客登录发布端172.16.200.51成功,并在5月2日利用发布端,成功将博彩页面推送到Linux静态网页服务器172.16.250.23,至此黑客完成整个攻击流程,将博彩页面植入服务器。

完整的攻击线路的流程如下图所示:

《记一次web应急事件处置》

点赞

发表评论