• 注册
  • 科研学习 科研学习 关注:129 内容:193

    对某高校的一次web应急响应

  • 查看作者
  • 打赏作者
  • 当前位置: 猿分天空 > 科研学习 > 正文
    Lv.2

    0X10 概述

    在某天收到客户反馈,学校网站服务器向外发起DDOS攻击,对此要对目标进行事件分析以及溯源处置。首先既然是学校网站服务器发起,所以可初步判断该网站服务器存在被攻陷的可能性。

    0X20 事件分析处置

    Windows分析:

    使用D盾进行扫描查找后门文件

    网络连接:

    对某高校的一次web应急响应
    对某高校的一次web应急响应

    无异常

    查看系统用户,未发现新增可疑用户

    对某高校的一次web应急响应

    查看webshell后门扫描结果

    对某高校的一次web应急响应

    发现web服务器日志中存在大量的恶意代码执行命令注入

    将web服务器日志导出,进行审计,发现该服务器最早在2018年12月18日遭受到攻击,并且自2018年12月18日开始陆续不断遭受到目录扫描攻击和注入命令执行攻击,下面以其中几份日志文件截图为例:

    对某高校的一次web应急响应

    攻击者ip为154.210.32.194

    对某高校的一次web应急响应

    攻击者ip为60.172.74.164

    对某高校的一次web应急响应

    攻击者ip为112.245.240.173

    发现扫描类攻击

    发现固定ip目录扫描

    对某高校的一次web应急响应

    攻击ip为35.224.236.195

    发现大量动态ip目录扫描,无法确定真实ip

    对某高校的一次web应急响应

    Sql注入攻击

    对某高校的一次web应急响应
    对某高校的一次web应急响应

    攻击ip为动态ip,无法确定真实攻击来源ip。

    通过360全盘查杀,发现多个病毒木马文件(文件未做删除处理)

    对某高校的一次web应急响应

    将该文件取出,判断为后门文件,进行分析

    对某高校的一次web应急响应

    解密后,发现该文件为恶意文件

    对某高校的一次web应急响应

    目标ip为185.128.41.90

    由此推断服务器已经被造成沦陷风险,本地放置了一个可以远程请求185.128.41.90

    的ps1的后门。

    访问网站查看是否存在getshell方式

    发现网站后台管理系统,并且存在弱口令账户:admin/123456

    链接

    对某高校的一次web应急响应

    查看web应用操作日志,发现近期xxxx账户有登录记录

    对某高校的一次web应急响应

    查看web应用数据库日志,发现120.xx.xx.220,和218.xx.xxx.34 分别是福州仓山和厦门的,其余ip为三明本地ip,以上两个ip为可疑ip

    对某高校的一次web应急响应

    继续翻找后台管理系统,发现存在多个文件上传点,并且未对上传文件作严格限制,推测可以从该处上传webshell

    对某高校的一次web应急响应
    对某高校的一次web应急响应

    Lv.2

    不知道发啥了,随便来一篇历史写的水水贴

    回复
    学神
    Lv.9
    ?福虎生威?
    我这儿你的图片不能正常显示
  • tutukkk可以了可以了,我的锅
    拉黑 2年前 电脑端回复
  • 回复

    图片挂了一半

    回复
    ?福虎生威?
    后面的图都看不了耶
    回复
    Lv.4

    回复
    Lv.4
    就是说网页管理员密码太简单,被人异地登陆上传代码文件?
    回复

    请登录之后再进行评论

    登录
  • 发布
  • 任务
  • 帖子间隔 侧栏位置: