webshell事件处置案例—struts2漏洞导致服务器沦陷
  

沙明 4710

{{ttag.title}}
本帖最后由 沙明 于 2017-6-12 17:03 编辑

客户名称:某市某公司门
事件类型:web入侵
问题主机描述:某市某公司门官方网站中被插入了一个文件xc.txt文本显示的是一个攻击者的qq,在web日志中未发现上传记录。
服务器操作系统:Linux Centos
数据库:Oracle
web服务器:Tomcat
网站用途:市某公司门官方网站
服务器现象:攻击者留下一个QQ号码。
图片27.png
事件处理过程:
0X001 struts2漏洞导致服务器沦陷
网站被黑,使用webshell查杀工具D盾进行后门查杀,将服务器中的代码拷贝到windows系统中,对网站中的webshell进行查杀,发现存在的webshell如下图:
图片28.png
在查杀过程中发现最早的webshell后门可以追溯到2014年5月3日。
图片29.png
对系统进行查杀,发现一个反弹shell,(bash反弹shell),如下图:
图片30.png
发现系统反弹shell到139.162.124.175,查询发现该ip地址来自荷兰。
图片31.png
图片32.png
根据客户的反馈:3月11日攻击者插入QQ.txt文件,3月11日NGAF正常防护,而且系统操作日志没有异常操作,网站访问日志3月11日该文件就get请求了一次12号14号也请求一次,并没有看到上传记录。
查看IPS日志,发现在3月11日、12日日志中出现大量的structs2漏洞攻击记录。
图片33.png
图片34.png
仔细查看IPS日志,在拦截的structs2漏洞攻击中并未出现最新的规则。也就是在3月11号、12号的日志中未发现新的structs2规则11020533被触发,客户在16号对NGAF进行升级(联系客户的时候,客户对规则库进行的更新,并且更新成功),查询所有日志发现新的structs2规则11020533在16号被攻击者触发,16号下午14:21分左右利用攻击脚本去测试时发现,IPS新的规则已经生效。
图片35.png
图片36.png
Structs2漏洞在3月7日攻击脚本公开爆发的时候,攻击者即利用攻击脚本对服务器进行Structs2漏洞攻击,写入webshell (下图几个多功能大马写入的时间均为3月7日),获取服务器权限,而最新的防护规则则是在16日NGAF升级之后才被触发。
图片37.png
此时,可以确定,最新规则库是16号才更新的,在3月7日,黑客是利用最新的structs2 s20-045漏洞,上传了webshell。

tomcat日志分析
利用notepad++筛选出访问过webshell的ip地址,发现有多个攻击者(113.93.84.199、58.22.101.143、180.153.160.24等)对webshell进行过访问。
图片38.png
图片39.png
利用notepad++筛选出访问过tomcat日志中kjy.jsp这个后门的ip地址,发现在现有日志中没有攻击者访问过,所以推测攻击者不是通过以前的这个后门来控制服务器。
图片40.png
针对xc.txt这个文件,排查tomcat日志,发现日志中有2个ip地址223.151.55.58、203.208.60.208访问过xc.txt这个文件。
图片41.png
223.151.55.58进行分析,使用微步在线查询发现该ip来自湖南常德。
图片42.png
203.208.60.208进行分析,分别利用ip138、站长之家和微步在线,对该ip地址进行查询分析,发现该ip地址属于谷歌爬虫。
图片43.png
图片44.png
图片45.png
可以推测223.151.55.58为攻击者使用的代理IP地址,在日志中查找该IP地址的行为,发现该IP地址的访问记录仅仅是争对xc.txt这个文件,未发现其他访问记录(其中3月11日的日志被攻击者删除),结合上面的排查情况,Structs2漏洞在3月7日攻击脚本公开爆发,猜测攻击者可能3月11日直接利用攻击脚本对服务器进行Structs2漏洞攻击,获取了服务器的权限,控制服务器,写入xc.txt文件,12日对其进行访问,看txt文件是否存在,服务器返回200。
图片46.png

0X002 历史遗留后门导致服务器被挂暗链
不久,服务器再次被入侵并植入暗链,查看攻击者创建的页面,确实是外链广告页面。
图片47.png
找出访问过黑客创建的广告页面的ip地址,发现58.62.234.168、66.249.79.143这两个ip地址大量访问广告页面。显示访问前10位的IP地址,便于查找攻击源:cat access_log |awk {print $1}|sort|uniq -c|sort -nr|head -10
图片48.png
微步在线分析下66.249.79.143这个IP地址,结果是搜索引擎爬虫。
图片49.png
筛选出58.62.234.168的访问记录发现在不断的访问/manager/200.jsp这个文件,怀疑这是个后门。
图片50.png
访问下200.jsp这个文件,发现其果然是后门。
图片51.png
查看200.jsp的上传时间,3月7日,根据3月17日的排查结果,该后门为漏网之鱼,为攻击者通过structs2漏洞创建。(之后对服务器进行全盘查杀,未发现其他后门)
图片52.png


打赏鼓励作者,期待更多好文!

打赏
1人已打赏

往—— 发表于 2019-4-4 08:54
  
貌似看懂了,其实一脸懵逼
新手664893 发表于 2019-5-16 19:19
  
貌似看懂了,其实一脸懵逼
Misel 发表于 2019-5-17 00:15
  
貌似看懂了,其实一脸懵逼
新手589624 发表于 2022-1-5 08:24
  
登陆论坛学习网络安全
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
新版本体验
信服课堂视频
产品连连看
标准化排查
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人