一、情況簡介
1.1發現存在入侵
2018年12月06日,我司“雲悉”互聯網安全監測平臺監測到某政府單位網站存在被植入惡意鏈接。我司“捕影”應急響應小組進行分析後確認爲真實入侵事件後,立即進入應急響應。
1.2應急處理分析結果
經過分析,判斷此次事件爲黑客惡意攻擊所致,通過日誌分析等,目前得到以下結論:
1、使用弱口令登錄後臺修改網站SEO信息爲博彩信息
2、服務器使用SNAT技術導致源IP爲同一IP,無法溯源分析黑客IP
3、部分日誌被黑客清除,建議後期增加第三方日誌審計平臺
4、通過弱口令登錄管理後臺,僅增加博彩信息、未上傳Webshell
二、入侵分析
2.1入侵現象
2018年12月06日,我司“雲悉”互聯網安全監測平臺監測到該用戶Web服務器被植入博彩內容,具體如下:
初步判斷結果如下:
網站被入侵,植入博彩信息,屬於黑帽SEO手法,我司“捕影”應急響應小組立即協助用戶進行入侵分析。
2.2系統分析
2.2.1 賬號及用戶組分析
對系統賬號進行分析,目前發現系統存在以下賬號:
Administraotrxc2018、guest234用戶,guest234用戶被禁用,其中管理員組用戶爲adminnistratorxc2018,未發現異常。
對系統隱藏用戶和克隆用戶進行分析:未發現隱藏賬號和克隆賬號後門。
2.2.2 進程及資源分析
未發現系統高資源進程,可初步判斷未植入挖礦程序。
2.2.3 開放端口分析
序號 | 端口 | 對應服務 | 說明 |
---|---|---|---|
1 | 80 | http | IISWeb應用服務 |
2 | 135 | RPC | 病毒與系統漏洞經常利用該端口,建議關閉 |
3 | 139 | Samba | 病毒與系統漏洞經常利用該端口,建議關閉 |
4 | 445 | CIFS | 病毒與系統漏洞經常利用該端口,建議關閉 |
5 | 1434 | Sqlserver | Sqlserver數據庫 |
6 | 2198 | MXagent.exe | MXagent |
7 | 2383 | Msmdsrv.exe | Microsoft SQL Server Analysis Services |
8 | 2525 | Tina_daemon | Tina daemon |
9 | 3389 | Mstsc.exe | Windows遠程桌面服務 |
10 | 5555 | G01 | 政府網防G01系統 |
11 | 5939 | teamviwer | Teamviwer |
12 | 10000 | YundetectService | 百度雲管家,建議關閉 |
13 | 37777 | Igdagent.exe | 管理系統 |
14 | 49152 | Wninit.exe | Windows啓動應用程序 |
15 | 49153 19154 49156 | svchost | Windows服務主進程 |
16 | 49155 | lsass.exe | Local Security Authority Process |
17 | 49166 | Services.exe | 服務和控制器應用程序 |
建議關閉135、139、445、10000等端口,其他端口需要根據業務需求來決定是否關閉。
2.2.3 其他分析
對該服務器的連接、安裝軟件、關鍵配置文件、啓動項分析,目前未發現異常。
2.2.4 系統分析小結
主機系統未發現明顯異常,建議關閉不必要的危險端口
三、WEB應用分析
3.1 博彩頁面分析
3.1.1 常見植入博彩方法與原理
通過內容分析,發現此次黑客爲SEO性質的。其主要目的在於通過黑帽SEO獲取經濟利益,一般情況下,黑客植入博彩內容有以下途徑:
1、前端劫持
前端劫持一般都是在網站的相應頁面中插入JS腳本,通過JS來進行跳轉劫持。也有發現黑客直接修改相應的頁面內容的。
2、服務器端劫持
服務器端劫持也稱爲後端劫持,其是通過修改網站動態語言文件,如global.asax、global.asa、conn.asp、conn.php這種文件。這些文件是動態腳本每次加載時都會加載的配置文件,如訪問x.php時會加載conn.php。這樣的話,只需要修改這些全局的動態腳本文件(如global.asax),訪問所有的aspx文件時都會加載這個global.asax文件,可以達到全局劫持的效果。
針對以上兩種劫持技術,可以直接查看飛鳥前期的技術分析:http://www.freebuf.com/articles/web/153788.html
3、DNS劫持
DNS劫持又稱域名劫持,入侵者通過社工或弱口令或其他手段拿到被入侵者域名服務商的相關權限,修改DNS指向,將正常域名解析至博彩網站或色情網站。細膩者可加JS代碼判斷訪問者是否爲百度谷歌等機器人爬蟲,若爲爬蟲則跳轉至博彩頁面,正常訪問則跳轉至正常頁面。這種方式在被入侵者服務器中無任何入侵跡象,隱蔽性高,陷入思維誤區時難以被發現。
3.1.2 博彩分析
(1)前端劫持分析
對用戶網站進行請求分析,未發現可疑JS請求。
對網站頁面源碼進行分析,未發現可疑代碼。
(2)後端分析
進入後臺頁面可發現網站SEO信息篡改,其對應後端文件爲GOLOBAL.ASP文件,通過頁面分析未發現劫持,暗鏈等情況,應急處理後恢復正常。確定黑客僅利用後臺配置添加博彩信息。
3.1.3 應急處理
刪除相關博彩信息,並修改爲正常信息。
3.1.4 Webshell分析
利用D盾及深信服的Webshell查殺工具對目標服務器Web應用進行查殺,未發現Webshell
四、日誌分析
分析網站後臺日誌,未發現異常,但推測日誌記錄已被黑客清理。分析iis系統日誌,發現2018年12月6日日誌數據量明顯異常,爲保證數據準確性與非偶然性,選擇4,5,6日日誌數據進行分析。
12月4號日誌分析
12月5號日誌分析
12 月6號日誌分析
根據日誌ip分析結果,可知服務器使用了SNAT源地址轉換,導致無法溯源黑客ip。(此分析利用了秋式日誌分析工具)
登錄後臺,模擬進行修改網站SEO信息操作,抓包分析更改基本信息的請求格式與特徵
發現當進行更改網站基本信息時所發生的請求數據包具有如下特徵:
POST /whir_system/module/setting/seosetting.aspx?time=519HTTP/1.1
1、以POST方式發生請求
2、請求地址爲/whir_system/module/setting/seosetting.aspx
3、請求時所附帶的參數爲time=
根據以上幾條特徵,對日誌進行分析。
根據時間線分析,我司人員於12月6日晚9時至12時與12月7日對該服務器進行應急響應。日誌格式爲w3c格式,採用GMT時間,而我國採用GMT+8時間,因此,12月7日與12月6日14點-16點間日誌所執行的操作爲我司人員應急響應操作。
我司雲悉互聯網安全監測平臺於2018年12月6日16:40:00發出預警信息,在此時間之前,約15時GMT時間7時左右發現可疑請求。對照網站後臺操作日誌可發現,該時間段網站後臺日誌記錄被刪除。
由於使用了SNAT技術,無法根據IP進行關聯分析,鎖定入侵者UA進行分析
入侵者UA:
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/70.0.3538.77+Safari/537.36
發現入侵者訪問過後臺更改管理員密碼業務。未發現上傳文件操作,及嘗試連接木馬操作。
日誌分析結論:
1、黑客於2018年12月6日15時左右黑入客戶服務器並修改網站基本配置信息爲博彩信息,並將後臺操作日誌刪除,未刪除IIS系統日誌。
2、客戶採用SNAT技術,無法溯源黑客IP。
3、系統日誌分析未發現異常。
五、分析總結
通過以上的分析,可以得出以下結論:
序號 | 分析內容 | 存在問題 |
---|---|---|
1 | Web | 1、後臺管理員賬號爲弱口令 2、部分後臺日誌被清除 3、黑客於2018年12月6日15時左右利用弱口令登錄後臺修改網站基本信息爲博彩信息。 |
2 | 系統 | 採用SNAT技術將IP轉換爲同一IP,無法溯源黑客IP |
3 | 端口 | 端口開放過多,其中135、139、445等端口建議關閉 |
4 | Webshell | 未發現Webshell |
5 | 博彩頁面 | 後臺網站基本信息被修改爲博彩信息 |
注1:初出茅廬的處女作,第一次進行實戰入侵分析,有很多地方分析的不到位不全面,還請各位大大多多指教
注2:本次分析中用到的工具有D盾,深信服webshellskill,秋式日誌分析工具,微軟logparser
*本文作者:TaoPro,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載。
TaoPro 1 篇文章 等級: 2級
|
|
已有 35 條評論
-
還是很棒的,清晰易懂
亮了(0)
-
小資geek (1級) 這傢伙太懶了,還未填寫個人描述! 2019-04-03 回覆 2樓
終於看到自己公司的人寫的文章了
亮了(2)
-
就這就結束了?
亮了(4)
-
yyz 2019-04-03 回覆 4樓
幹得不錯
亮了(0)
-
時光老人你可不可以走慢點 (4級) 2019-04-03 回覆 5樓
黑帽seo,難道不應該留個後門嗎?感覺不留後門是對網站的不尊重O(∩_∩)O哈哈~
亮了(0)
-
郭x華 2019-04-03 回覆 6樓
你好。請問“根據日誌ip分析結果,可知服務器使用了SNAT源地址轉換,導致無法溯源黑客ip”這句話怎麼理解呢?我看到你的截圖顯示的IP是內網IP,意思說被入侵的服務器前面還有一臺類似haproxy這樣的代理服務器做代理嗎?所以才顯示的內網IP?
亮了(0)
-
@ 郭x華 您好, 是這樣的,這臺服務器是出於一家IDC機房裏面的,可以理解爲前面有一臺代理服務器,所有進入內部網絡的IP都被轉換爲這臺服務器的地址了。
亮了(0)
-
-
uumesafe 2019-04-03 回覆 7樓
是 DNAT 的話?
亮了(0)
-
willhuang 2019-04-03 回覆 8樓
好文章,期待更多深入分析
亮了(0)
-
澳門 2019-04-03 回覆 9樓
我們風評被害了
亮了(0)
-
留個聯繫方式 常討教。
亮了(0)
-
freebug_n (4級) Nigger! 2019-04-03 回覆 11樓
老司機!
亮了(0)
-
liuzhicheng (1級) 2019-04-03 回覆 12樓
一篇對菜鳥友好的文章 加油!
亮了(1)
-
l0cal 2019-04-03 回覆 13樓
續集呢?
亮了(1)
-
亂敲一通 2019-04-03 回覆 14樓
學習了。不過沒留shell怎麼刪的日誌鴨,web端有刪日誌神操作嘛,或者是sql注入刪的?
亮了(1)
-
哈哈一下 2019-04-03 回覆 15樓
用Windows的服務器呀
亮了(0)
-
很好的文章了,思路清晰、把所有可能列出供廠商瞭解。加油加油
亮了(0)
-
tammypi (2級) 2019-04-04 回覆 17樓
就是弱口令登錄+修改了SEO信息嗎(另外爲了擦除痕跡刪了部分日誌)?
亮了(0)
-
匿名小菜鳥 2019-04-04 回覆 18樓
分析不夠完善,弱口令登錄是靠猜測,日誌刪除部分未做詳細分析,系統進程部分沒做詳細分析。
亮了(0)
-
@ TaoPro 一般的黑SEO不會輕易丟失任何一個站,包括垃圾站,知道清理日誌的黑闊不會不留後門的吧,系統的後門有沒有查,無文件後門,powershell持久維持,數據庫後門都詳細查查,另外,查看下同服或C段有沒有其它網站被搞,溯源要溯到底,不然你這篇文章的意義就小了很多
亮了(2)