应急响应系列之Web实战篇
|
副标题[/!--empirenews.page--]
当我还在做安服的时候,我的主要工作是渗透测试和应急响应。两年前,我开始着手去整理一些应急响应案例,脱敏保留特定特征的场景,试图以最简单直观的方式去还原一个个应急场景。 现在,我将这些文档通过另一种更加开放的形式进行分享,欢迎 Star,欢迎 issue。
项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。 我将持续更新这份笔记,希望能帮到有需要的人。 如果你看到好的案例,欢迎通过 issue 提交,欢迎 Star 予以支持。 第 1 篇:网站被植入 Webshell 网站被植入 webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入 webshell 接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql 注入写入文件等。 1. 现象描述 网站管理员在站点目录下发现存在 webshell,于是开始了对入侵过程展开了分析。
Webshell 查杀工具:
2. 事件分析 (1) 定位时间范围 通过发现的 webshell 文件创建时间点,去翻看相关日期的访问日志。
(2) Web 日志分析 经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的 webservice 接口
(3) 漏洞分析 访问 webservice 接口,发现变量:buffer、distinctpach、newfilename 可以在客户端自定义
(4) 漏洞复现 尝试对漏洞进行复现,可成功上传 webshell,控制网站服务器
(5) 漏洞修复 清除 webshell 并对 webservice 接口进行代码修复。 从发现 webshell 到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。 第 2 篇:门罗币恶意挖矿 门罗币 (Monero 或 XMR),它是一个非常注重于隐私、匿名性和不可跟踪的加密数字货币。只需在网页中配置好js脚本,打开网页就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。 1. 现象描述 利用 XMR 恶意挖矿,会大量占用用户的 CPU 资源,严重影响了网站的用户体验。 从 08/09 日 0 点开始,局域网内某 IP 访问网站页面会触发安全预警,只要访问此服务器上的网页,CPU 直线上升100%
2. 问题解析 通过获取恶意网页 url,对网页页面进行分析,发现网站页面被植入在线门罗币挖矿代码:
删除 js 里面的恶意代码,网站被 XMR 恶意挖矿,服务器已经被攻击,进一步做服务器入侵排查。 第3篇:批量挂黑页 作为一个网站管理员,你采用开源 CMS 做网站,比如 dedecms,但是有一天,你忽然发现不知何时,网站的友情链接模块被挂大量垃圾链接,网站出现了很多不该有的目录,里面全是博彩相关的网页。而且,攻击者在挂黑页以后,会在一些小论坛注册马甲将你的网站黑页链接发到论坛,引爬虫收录。在搜索引擎搜索网站地址时,收录了一些会出现一些博彩页面,严重影响了网站形象。 1. 原因分析 网站存在高危漏洞,常见于一些存在安全漏洞的开源 CMS,利用 0day 批量拿站上传黑页。 2. 现象描述: 某网站被挂了非常多博彩链接,链接形式如下:
链接可以访问,直接访问物理路径也可以看到文件,但是打开网站目录并没有发现这些文件,这些文件到底藏在了哪? (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
