• 注册
  • 科研学习 科研学习 关注:113 内容:154

    对某高校的一次web应急响应

  • 查看作者
  • 打赏作者
  • 当前位置: 猿分天空 > 科研学习 > 正文
    • 7
    • 科研学习
    • Lv.2

      0X10 概述

      在某天收到客户反馈,学校网站服务器向外发起DDOS攻击,对此要对目标进行事件分析以及溯源处置。首先既然是学校网站服务器发起,所以可初步判断该网站服务器存在被攻陷的可能性。

      0X20 事件分析处置

      Windows分析:

      使用D盾进行扫描查找后门文件

      网络连接:

      对某高校的一次web应急响应
      对某高校的一次web应急响应

      无异常

      查看系统用户,未发现新增可疑用户

      对某高校的一次web应急响应

      查看webshell后门扫描结果

      对某高校的一次web应急响应

      发现web服务器日志中存在大量的恶意代码执行命令注入

      将web服务器日志导出,进行审计,发现该服务器最早在2018年12月18日遭受到攻击,并且自2018年12月18日开始陆续不断遭受到目录扫描攻击和注入命令执行攻击,下面以其中几份日志文件截图为例:

      对某高校的一次web应急响应

      攻击者ip为154.210.32.194

      对某高校的一次web应急响应

      攻击者ip为60.172.74.164

      对某高校的一次web应急响应

      攻击者ip为112.245.240.173

      发现扫描类攻击

      发现固定ip目录扫描

      对某高校的一次web应急响应

      攻击ip为35.224.236.195

      发现大量动态ip目录扫描,无法确定真实ip

      对某高校的一次web应急响应

      Sql注入攻击

      对某高校的一次web应急响应
      对某高校的一次web应急响应

      攻击ip为动态ip,无法确定真实攻击来源ip。

      通过360全盘查杀,发现多个病毒木马文件(文件未做删除处理)

      对某高校的一次web应急响应

      将该文件取出,判断为后门文件,进行分析

      对某高校的一次web应急响应

      解密后,发现该文件为恶意文件

      对某高校的一次web应急响应

      目标ip为185.128.41.90

      由此推断服务器已经被造成沦陷风险,本地放置了一个可以远程请求185.128.41.90

      的ps1的后门。

      访问网站查看是否存在getshell方式

      发现网站后台管理系统,并且存在弱口令账户:admin/123456

      链接

      对某高校的一次web应急响应

      查看web应用操作日志,发现近期xxxx账户有登录记录

      对某高校的一次web应急响应

      查看web应用数据库日志,发现120.xx.xx.220,和218.xx.xxx.34 分别是福州仓山和厦门的,其余ip为三明本地ip,以上两个ip为可疑ip

      对某高校的一次web应急响应

      继续翻找后台管理系统,发现存在多个文件上传点,并且未对上传文件作严格限制,推测可以从该处上传webshell

      对某高校的一次web应急响应
      对某高校的一次web应急响应

      Lv.2

      不知道发啥了,随便来一篇历史写的水水贴

      回复
      学神
      Lv.9
      ?福虎生威?
      我这儿你的图片不能正常显示
    • tutukkk可以了可以了,我的锅
      拉黑 7个月前 电脑端回复
    • 回复

      图片挂了一半

      回复
      Lv.9
      ?福虎生威?
      后面的图都看不了耶
      回复
      Lv.2

      回复
      Lv.4
      就是说网页管理员密码太简单,被人异地登陆上传代码文件?
      回复

      请登录之后再进行评论

      登录
    • 发布
    • 任务
    • 帖子间隔 侧栏位置: