应急响应-Webshell-典型处置案例

网站后台登录页面被篡改

事件背景

在2018年11月29日4时47分，某网站管理员发现网站后台登录页面被篡改，“中招”服务器为windows系统，应采用java语言开发，所使用的中间件为Tomcat。

事件处置

Webshell排查

利用D盾对网站目录进行扫描，发现Webshell痕迹，如图所示。

查看对应的文件内容，确认为Webshell，如图所示。

通过D盾的扫描结果定位Webshell文件位于网站root更目录（\root\indexweb4.jsp），文件的创建时间为2018年11月23日5时55分，如图所示。

Web日志分析

进一步分析Web日志。Web应用运行在Tomcat中间件上，查看Tomcat的配置文件server.xml，发现其中的日志配置项被注释，即未启用日志，因此导致无Web日志记录，如图所示。

对系统后台进行人工排查，发现系统对互联网开放，且管理员与其他角色用户均使用相同弱密码“asd123”。系统显示攻击者在2018年11月29日4时47分左右通过网站管理后台对登录界面Logo进行了篡改。
同时，经排查发现Tomcat中间件使用了弱密码“tomcat”，攻击者可以轻易登录probe监控系统，，如图所示。

系统排查

查看服务器上的安全软件告警发现存在多次恶意进程执行记录，并请求恶意域名下载恶意程序。最早在2018年11月23日0时44分，该恶意程序就已在服务器上运行，如图所示。

逆向分析病毒文件，查看此恶意程序攻击行为，可基本确定起对应挖矿木马特征，可见攻击者不仅篡改网页，同时还植入挖矿程序进行挖矿，如图所示。

系统日志分析

通过事件查看器筛选安全日志（security.evtx），发现36979条审核记录，如图所示。

分析系统登录日志发现，字2018年11月2日起至网页篡改发现时，存在大量RDP远程桌面暴力破解行为与IPC暴力破解攻击行为，且存在多个异常RDP远程桌面登录记录，涉及的源IP有125.68.10.14（四川德阳）、104.222.32.79（美国）、77.77.98.81（伊朗），说明此前已存在攻击者通过暴力破解RDP服务登录到服务器的情况，如图所示。

问题总结

综上，对发现的线索梳理如下：
服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件；
Web 应用后台存在弱密码；
中间件后台存在弱密码；
服务器未开启 Web 日志记录功能；
服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序；
服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
综上分析，由于页面是通过后台 Logo 上传功能进行篡改的，因此推测攻击者在 2018 年 11 月 29 日通过后台弱密码登录系统并执行了篡改 Logo 操作。但在此前系统已经被入侵控制，甚至在 2018 年 11 月 2 日就已经被 RDP 暴力破解并被远程登录。由于服务器未开启 Web 日志记录功能，且存在较多漏洞，因此给溯源定位带来困难。

根除及恢复

暂停相关业务服务，对遗留网页木马（Webshell）和攻击者攻击进行移除；
对服务器启用的服务进行安全加固，关闭不用的端口和服务，减少攻击面；
当前启用的服务器因未开启Web访问日志记录给溯源带来一定困难，后续应开启Web访问日志记录；
避免使用弱密码，并定期对服务器进行病毒查杀，减少攻击面，提升服务器的安全防护能力。

Linux系统网站服务器被植入Webshell

事件背景

2018年7月23日，某公司网站发现监测设备告警，提示存在Webshell连接，请求数据包内容如图所示。目标URL对应的服务器为Linux，Web应用开放语言为Java.

事件处置

Webshell排查

通过告警定位到告警文件，查看文件内容，确认为Webshell后门，如图所示。

Webshell日志排查

通过日志排查发现最早访问该Webshell的时间为2018年7月23日14时16分56秒，如图所示。

但在对相关Web流量日志的前后项进行过滤后，并未发现异常的文件上传行为，因此初步排除通过Web途径对系统进行攻击的情况。

系统日志排查

进一步对系统进行排查，在SSH登录日志中Webshell首次访问的相邻时间段，存在来自10.127.2.2的可疑登录记录，对应时间为2018年7月23日14时08分，如图所示。

文件排查

经过与运维人员沟通，确认运维人员在该时间段内并未使用该IP地址登录服务器。同时对该IP地址登录时间内产生的相关文件进行检索，发现在临时目录中存在Nmap扫描日志文件/tmp/1.xml，如图所示。

其他关联主机的排查

随后转向对主机10.127.2.2进行排查，发现该主机部署禅道管理系统，并对外提供访问。在进行系统进程排查时发现存在可疑进行a，尝试主动连接至远程主机123.59.118.220，如图所示。

进程启动时间为2018年7月23日14时39分，如图所示。

继续对上述相关进程文件进行检索，发现对应路径文件已被删除，通过复制文件内存副本发现该进程实际上为Termite（白蚁）远程控制工具，如图所示。

排查分析系统文件发现，在/storage/www/html/zentaopms/www/目录下存在Webshell后门文件help123.php，如图所示。

通过对访问该文件的相关Web流量日志记录进行检索，发现在2018年7月20日15时09分02秒，有来自121.205.7.237的可疑访问记录。进一步对该服务器Web日志进行分析，发现该IP地址登录后台并上传Webshell记录。由于该服务器更换过地址，因此流量设备并未记录到该服务器流量，如图所示。

推测攻击者先登录禅道管理系统后台，通过系统文件管理功能，向 IP 地址为10.127.2.2 的禅道管理系统上传 Webshell 后门，并植入相关远程控制程序。然后，以此服务器为跳板主机，通过 SSH 管理服务，使用 root 用户登录到“中招”目标服务器，向目标服务器中植入 Webshell 后门，并对内网其他主机进行扫描探测。

问题总结

综上，对发现的线索梳理如下：
在 2018 年 7 月 23 日 14 时 16 分 56 秒，目标服务器发现存在 Webshell访问；
在 2018 年 7 月 23 日 14 时 08 分，目标服务器出现来自 10.127.2.2 的异常 SSH 登录；
在服务器 10.127.2.2 中存在远控程序，远控 IP 地址为 123.59.118.220，且在 2018 年 7 月 20 日 15 时 18 分 01 秒发现 Webshell 文件 help123.php；
从服务器 10.127.2.2 的日志中发现，121.2 05.7.237 在 2018 年 7 月 20 日15 时 09 分 02 秒从后台上传 help123.php。
结合以上线索推理，本次 Webshell 安全事件的攻击 IP 地址为 121.205.7.237，远控 IP 地址为 123.59.118.220。2018 年 7 月 20 日，攻击者首先通过禅道管理系统后台上传 Webshell 及远控程序，实现对服务器 10.127.2.2 的控制，然后以此服务器为跳板，在 2018 年 7 月 23 日通过 SSH 远程连接到目标服务器，并上传Webshell 及恶意程序发起进一步对内网的扫描。

根除及恢复

服务器断网，清理发现的Webshell及恶意程序；
对服务器进行安全加固，更改应用及系统密码，升级所使用的禅道管理系统，修补漏洞；
带清理完成确认安全后，重新部署上线。

Windwos系统网站服务器被植入Webshell

事件背景

2019年12月26日，某单位被上级监管单位通报存在挂马现象，网站应用存在可疑Webshell访问，网站服务器为Windows系统，使用PHP开发语言。

事件处置

Webshell排查

利用D盾扫描网站目录，发现Webshell痕迹，扫描结果如图所示。

Web日志分析

分析相应时间范围内的的Web应用日志，发现攻击者在2019年5月26日，通过管理后台访问到编辑器，并且成功上传带有恶意Webshell代码的图片文件，但未成功入侵，如图所示。

在2019年6月14日09时22分37秒，攻击者通过目录猜解工具成功猜解到网站部署的探针文件，如图所示。

在2019年6月14日09时22分48秒，攻击者成功登录phpmyadmin管理后台，如图所示。

在2019年6月14日09时23分41秒，攻击者通过phpmyadmin，利用MySQL数据库特性向服务器写入网站后门文件“520.php”，如图所示。

在2019年6月14日09时24分33秒，攻击者访问写入服务器的后门文件，并且利用后门文件再次写入一个后门文件“c321.php”，如图所示。

2019年6月16日04时02分08秒，攻击者成功上传新的后门文件“mow4125ang.php”，如图所示。

2019年6月16日20时40分51秒，攻击者修改系统模板文件，生成新的后门文件，隐藏“function.cycle.php”，如图所示。

系统排查

系统排查无异常，攻击者仅上传了Webshell操作。

问题总结

综上，对发现的线索梳理如下：
2019 年 5 月 26 日，攻击者成功上传带有恶意代码的图片，但未成功入侵；
2019 年 6 月 14 日，攻击者通过 phpmyadmin 管理后台成功登录，通过操作数据库成功向服务器写入后门文件，获取服务器控制权限。
结合以上线索推理，IP 地址为 202.***.***.10 的攻击者在 2019 年 6 月 14 日通过 phpmyadmin 管理后台向服务器写入 Webshell，实现对服务器的控制，未对操作系统做恶意操作。