某项目应急响应处置

项目地址

安全事件概述

某天晚20:00接到客户应急响应请求,现场流量设备发现服务器webshell报警,需要进行排查以及溯源,其实是接着上次那个shiro利用写的,这次写一下应急的过程

定位事件根源

通过对告警日志及webshell,确定这次攻击是通过shiro反序列化获取服务器全县并反弹shell写入webshell

应急响应流程

系统分析

通过对失陷机器排查,发现在/vdb2/apps/apache-tomcat-7.0.82-8080/webapps/ilive/tysx/js/下发现后门:md5.jsp,创建时间为2019-08-08 15:41:25。在xxx的目录/vdb2/apps/apache-tomcat-7.0.82-8080/webapps/ilive/tysx下发现webhsell后门:.mm.jsp,创建时间为2019-08-08 23:51:17。通过分析服务器相关组件、访问日志、流量日志等线索,确定攻击者是通过shiro组件的反序列化漏洞,反弹shell之后,部署的两个webshell后门。

web服务器的history日志:

img1

根据history可以看到,攻击者判断是否能出网,然后在反弹shell,部署webshell后门,操作时间段大约在:2019.08.08 15:14~2019.08.08 15:41。

除此之外,还看到.mm.jsp的创建时间为2019-08-08 23:51:17,而shiro的反序列化攻击时间为2019-08-08 23:44:41,操作时间段相符

经开发韵味确认,该服务器上部署的shiro框架版本为1.2.2,该版本存在反序列化漏洞

安全事件处置

  1. 删除webshell后门

  2. 删除啊shiro组件或删除shiro到最新版本

  3. 安装杀毒软件

  4. 修改受感染的用户密码

应急响应总结

本次应急响应,攻击者通过shiro组建的发序列化漏洞获取到主机权限,并在反弹shjell之后,留下后门,攻击者在拿到主机权限之后,不排除内网横向移动到可能


服务器资源由ZeptoVM赞助

Partners Wiki IRC