网页篡改事件应急案例
结论建议
结论:
- 感染的病毒为最新的 GANDCRAB V5.2,该版本目前尚无公开解密秘钥,在不支付赎金前提下, 无法对加密文件进行解密。
- 该主机在 2018 年 5 月至 7 月期间,感染过多个恶意程序,由于涉及域名均已失效,但均不具 备勒索病毒特征,与此次事件无关。
- 通过对系统日志
分析,排除了攻击者通过远程桌面(RDP)口令爆破植入病毒程序的可能性。1. 由于 WebLogic 存在多个安全漏洞
且暴露在互联网,导致被攻击者利用并植入了相关后门程序。1. 通过攻击特征及版本验证,确认攻击者使用了 2019 年 4 月 25 日公开的 WebLogic wls9_async_ response 反序列化
命令执行漏洞(CVE-2019-2725 )。建议: - 对于重要的加密感染文件,建议备份留存并等待秘钥公布,历史上 GANDCRAB病毒作者曾多 次公布解密秘钥。
- 通过黑白盒结合方式对 WEB应用做安全测试及后门排查,防止将有后门的应用再次部署上线。
- 加强对操作系统及 WEB日志的审计留存,如 WEB应用可通过反向代理方式对访问记录进行留 存。
- 及时更新安全防护设备规则,如 WAF、IPS 等,防止被网络上公开的 1day 漏洞攻击利用。
- 定期定时对重要业务数据进行备份,以便在事后及时对业务系统进行恢复。
挖矿木马病毒应急案例
- 背景介绍
某门户网站 Windows 服务器 CPU 使用率 100%,初步判断被植入了挖矿木马病毒。
处置过程
- 挖矿程序已被管理员清除,通过回收站恢复样本并明确文件创建时间。
图 5.23 文件创建时间 - 扫描网站目录 webshell 后门,分析 web 日志均未发现异常。
- 通过分析 SQL Server 日志,发现存在 sa 用户爆破痕迹,并且启用了 xp_cmdshell。
图 5.24 sa 用户爆破痕迹 - 分析系统应用程序日志,进一步确认 SQL Server存储过程(xp_cmdshell)被启用并执行系统命令。
图 5.25 xp_cmdshell 执行记录
挖矿程序分析:
通过对样本进行分析发现为 KingMiner 挖矿木马病毒。KingMiner 挖矿木马病毒利用 SQL Server 弱 口令爆破获取系统权限,进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒为保证挖矿流 程成功执行,在 XP以上系统中,还会执行备用流程,利用 powershell 内存加载的方式挖取门罗币,整 体的病毒流程:
图 5.26 KingMiner 双重挖矿模型
结论建议
结论: 1. 攻击者通过成功爆破系统 1433 端口 SQL Server 口令,利用存储过程 xp_cmdshell 执行系统命令,
运行挖矿程序。
建议:
- 对所有的 SQL Server 用户口令进行更改,增加口令复杂度。
- 修改策略只允许特定的 IP 从公网访问 1433 端口或者禁止 1433 端口在公网开放。
- 建议对系统远程桌面等重要口令进行更改。
- 关闭存储过程 xp_cmdshell,严格控制数据库的用户权限,尽量不要赋予 sa 权限
\ 关闭 xp_cmdshell - 将系统的安全补丁更新到最新。
- 建议禁止服务器上外网。
- 建议使用专业的安全软件对服务器进行防护。
网页篡改事件应急案例
- 背景介绍
2019 年 01 月从绿盟云监控告警得知,某客户网站页面被篡改。
图 5.27 绿盟云监控告警
处置过程
打开网站首页,查看源代码发现 HTML代码中被插入了恶意广告:
图 5.28 HTML 代码中插入恶意广告
web 日志分析:
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322):
图 5.29 web 日志
筛 选 最 后 一 次 监 控 到 /portal/article/index/id/3077/cid/4.html 页 面 正 常 的 时 间 为 12/ Jan/2019:04:43:43:
图 5.30 web 日志
提取 12/Jan/2019:04:43:43-06:01:10 之间的日志进行分析,发现只有 IP(119.*.*.50)于 05:30 分 左右对 /static/font-awesome/fonts/indax.php 文件进行了访问:
图 5.31 日志分析
访问 /static/font-awesome/fonts/indax.php 文件,发现该文件为 php 大马:
图 5.32 PHP 大马
由此可确定攻击者调用 /static/font-awesome/fonts/indax.php 大马实现网页篡改。 ① 确定 webshell(/static/font-awesome/fonts/indax.php)的上传路径 /static/font-awesome/fonts/indax.php 首次访问时间为:10/Jan/2019:23:18:35 的记录:
图 5.33 首次访问时间 进一步分析发现,攻击者调用 content.php 进行了一系列操作:
图 5.34 操作记录
通过检索 content.php 关键字,发现 content.php 是攻击者通过 ThinkPHP 远程命令执行进行上传的, 上传者 IP 与调用 content.php 上传 /static/font-awesome/fonts/indax.php 的 IP 相同,为 112.*.*.30 。
命令执行的主要内容为:
上述命令的意思是,读取网址 http://xia*.*.net/ma.asp 的内容写入到本地 content.php 中。
应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。最终确认攻击者实际调用 content.php 进行了 9 步操作。
- 删除网站根目录下
- 删除网站根目录下
- 删除网站根目录下
- 进入 /static/ 目录
indax.php 文件 co.php 文件 class1.php 文件 - 进入 /static/images/ 目录
- 回到 /static/ 目录
- 进入 /static/Front-awesome/ 目录
- 进入 /static/Front-awesome/Fronts/ 目录
- 向 /static/Front-awesome/Fronts/ 目录传入文件(indax.php) 至此,可确定完整攻击路径如下:
- 2019 年 1 月 9 日 21 点 47 分 44 秒,攻击者(IP :112.*.*.30)通过 ThinkPHP 远程命令执行 漏洞上传文件名为 content.php 的 webshell。
- 2019 年 1 月 10 日 23 点 18 分 25 秒,攻击者通过 webshel(content.php)上传隐蔽性、免杀 能力更强大的木马后门 /static/font-awesome/fonts/indax.php。
- 2019 年 1 月 10 日 5 点 30 分到 32 分,攻击者通过 wehsehll(index.php)对 /portal/article/ index/id/3077/cid/4.html 页面进行了篡改,插入大量暗链。
参考资料
绿盟 2019年安全事件响应观察报告
友情链接
GB-T 36643-2018 信息安全技术 网络安全威胁信息格式规范
网页篡改事件应急案例相关推荐
- 网络安全应急响应----8、网页篡改应急响应
文章目录 一.网页篡改简介 二.网页篡改检测技术 1.外挂轮询技术 2.核心内嵌技术 3.事件触发技术 三.网页篡改应急响应方法 1.发生网页篡改 2.隔离被感染的服务器/主机 2.1.针对被篡改的网 ...
- 网页篡改应急响应指南
网页篡改应急响应指南 1.初步研判 2.隔离被感染的服务器/主机 3.排查业务系统 4.日志排查 5.网络流量排查 6.恢复数据和业务 7.网页篡改防御方法 1.初步研判 打开网页后会看到明显异常: ...
- 突发公共卫生事件应急指挥及决策系统解决方案
总体介绍 突发公共卫生事件应急指挥及决策系统解决方案由基础数据采集整合.专业服务决策分析.指挥和会商决策.地理信息系统展示四部分组成,从安全基础设施.应急系统安全和安全管理等三个层面综合考虑确保系统安 ...
- JavaScript Web APIs部分参考pink老师ppt(网页常见的js案例)
JavaScript基础知识 JavaScript Web API DOM DOM 树 获取元素 根据 ID 获取 根据标签名获取 获取特殊元素(body,html) 获取body元素 获取html元 ...
- 关闭 定时开启_【话说定时器系列】之四:STM32定时器更新事件及案例分享
STM32定时器是 ST MCU 内部最基础且常用的外设,实际应用尤为普遍.去年,电堂推出了<STM32 TIMER基础及常规应用介绍>,为大家梳理了 STM32 TIMER 的庞大内容, ...
- 突发公共事件应急管理 新闻网站集
国家突发公共事件预案体系全文(更新中)--时政--人民网 http://politics.people.com.cn/GB/8198/57347/57350/4021527.html 突发公共事件应 ...
- php事件编程,PHP相应button中onclick事件的案例分析
PHP相应button中onclick事件的案例分析 发布时间:2020-11-10 11:28:31 来源:亿速云 阅读:71 作者:小新 小编给大家分享一下PHP相应button中onclick事 ...
- python制作网页样式与布局_清华大学出版社-图书详情-《CSS3+DIV网页样式与布局案例课堂(第2版)》...
前 言 "网站开发案例课堂"系列图书是专门为网页设计初学者量身定制的一套学习用书.整套书具有以下特点. 前沿科技 无论是网站建设.数据库设计还是HTML5.CSS3,我们都精选较为 ...
- Python:Python语言的简介(语言特点/pyc介绍/Python版本语言兼容问题(python2 VS Python3))、安装、学习路线(数据分析/机器学习/网页爬等编程案例分析)之详细攻略
Python:Python语言的简介(语言特点/pyc介绍/Python版本语言兼容问题(python2 VS Python3)).安装.学习路线(数据分析/机器学习/网页爬等编程案例分析)之详细攻略 ...
最新文章
- 七喜携手AMD,摆脱英特尔“潜规则”
- php和java融合_Java上的PHP,真的融合
- macOS Big Sur 使用全新虚拟化框架创建超轻量虚拟机!
- 【操作系统】RedHat7系安装显卡驱动
- 【概率论】1-4:事件的的并集(Union of Events and Statical Swindles)
- Linux Ubuntu安装sogou中文输入法
- XenServer XAPI简介
- 牛客网NOIP赛前集训营-提高组(第六场)B-选择题[背包]
- Java dectobin(n)函数_浙大JAVA实验题答案09answer.docx
- 07_支持向量机3_统计学习方法
- Java并发:整理自《Java并发编程实战》和《Java并发编程的艺术》
- django下载或者导出文件
- 各种提权、渗透经验技巧总结大全(下)
- 上海东方美谷JW万豪、福清喜来登、宁波杭州湾凯悦等酒店开业 | 中国酒店周刊...
- ffmpeg项目编译出错问题解决方案.
- STM32G030 低功耗
- cmd命令怎么查看电脑配置?
- 我参加 NVIDIA Sky Hackathon---语音识别+前端设计
- .blade.php,Blade 模板 |《Laravel 5.4 中文文档 5.4》| Laravel China 社区
- 推荐系统 | (2) 个性化推荐系统研究热点
热门文章
- 数字雕刻软件哪个好?ZBrush 2021推荐给大家
- 局域网MAC地址及管理方法。
- qt creator 运行 出现 “can not open .... jom for write 解决方案
- Linux查看压缩文件内容【转】
- iOS各浏览器、macOS的safari无法使用websocket问题
- 制学科Siemens.Tecnomatix.Machine.Configurator.1.0.0.1027
- 代码随想录训练营day38
- 如何抠图更换背景?这两个方法你知道吗?
- jconsole本地连接“提示安全连接失败”问题解决
- Mybatis使用Druid连接池