项目地址

安全事件概述

某天晚20:00接到客户应急响应请求，现场流量设备发现服务器webshell报警，需要进行排查以及溯源，其实是接着上次那个shiro利用写的，这次写一下应急的过程

定位事件根源

通过对告警日志及webshell，确定这次攻击是通过shiro反序列化获取服务器全县并反弹shell写入webshell

应急响应流程

系统分析

通过对失陷机器排查，发现在/vdb2/apps/apache-tomcat-7.0.82-8080/webapps/ilive/tysx/js/下发现后门：md5.jsp，创建时间为2019-08-08 15:41:25。在xxx的目录/vdb2/apps/apache-tomcat-7.0.82-8080/webapps/ilive/tysx下发现webhsell后门：.mm.jsp，创建时间为2019-08-08 23:51:17。通过分析服务器相关组件、访问日志、流量日志等线索，确定攻击者是通过shiro组件的反序列化漏洞，反弹shell之后，部署的两个webshell后门。

web服务器的history日志：

2.png904×160

根据history可以看到，攻击者判断是否能出网，然后在反弹shell，部署webshell后门，操作时间段大约在：2019.08.08 15:14~2019.08.08 15:41。

3.png904×468

除此之外，还看到.mm.jsp的创建时间为2019-08-08 23:51:17，而shiro的反序列化攻击时间为2019-08-08 23:44:41，操作时间段相符

4.png904×331

5.png904×587

经开发韵味确认，该服务器上部署的shiro框架版本为1.2.2，该版本存在反序列化漏洞

安全事件处置

1. 删除webshell后门

2. 删除啊shiro组件或删除shiro到最新版本

3. 安装杀毒软件

4. 修改受感染的用户密码

应急响应总结

本次应急响应，攻击者通过shiro组建的发序列化漏洞获取到主机权限，并在反弹shjell之后，留下后门，攻击者在拿到主机权限之后，不排除内网横向移动到可能