0 应急说明

如果"我"细心一点就不会漏掉关键痕迹；
如果"我"按照标准化的流程进行检查则一定会发现关键痕迹；
如果上面说的这些 我 在第一次检查的时候都做到了 也就不会有第二次入侵 我 也不会这么尴尬 客户居然
当着  我  的面和竞争对手说以后他们之间后续会有大把合作的机会 公司会怎么看 我 老大会怎么看 我

通过本次案例可知道 世上没有这么多如果 机会只会留给有准备的人 尤其是解决客户问题方面 更是争分夺秒。
最重要的是技术并不是只能体现公司价值，更可以为公司带来价值 尤其是解决客户问题方面 因为除
了客情关系客户最基本的需求只有两个 即可以把事情做好的人和可以解决问题的人，如果两点都做
到了再加上客情 为什么不需要您呢。

业务有竞争 但技术无国界 如果您从客户处获得报告或者在这里看到本文希望可以帮您补好这个短板。

另外请教大佬iis为什么可以让客户端post一个txt文件并返回200。

1 情况概述

1.1 攻击流程

攻击者通过三种不同作用的攻击源ip针对子站发起漏洞扫描/上传web后门/连接web后门以及连接操作
系统后门并通过后门程序获得的管理员权限针对主站网站首页进行多次内容篡改。


1.2 情况简介

主站于20210527遭遇第一次被恶意篡改内容的事件 在未找到入侵源头和入侵途径的情况下 于20210603遭
遇第二次被恶意篡改内容的事件。于20210604 18:00收到客户单位告警，随即进场提供技术支持。

1.3 分析结论

本次安全事件的攻击者具有较强的反侦察意识 使用不同的ip做不同的功能 防止其中一个被溯源影响到另一
外功能但可通过大胆假设小心求证的方式将其关联 本次安全事件的分析结论如下所示：

1.4 应急处置

针对本次安全事件已做如下应急处置：





在以下上传点中检查存在的上传漏洞 并进行修复；


由于post动作无法查看具体的post内容 攻击者向一句话木马.txt执行过post动作/服务器返回200的post
成功状态，该ip在访问大马之前为什么要一定要向访问txt 即是否通过txt上传 因此还需要检查iis确认是否
存在文件解析漏洞；


禁用不安全的http方法 因为攻击者初期使用head方法进行了目录扫描。


2 黑客入侵分析过程

攻击源1：112.74.166.1用于漏洞扫描；
攻击源2：194.5.49.22用于连接网站后门程序；
攻击源3：150.107.1.89用于连接操作系统后门程序。

2.1 112.74.166.1攻击行为

2.1.1 扫描存活目录

112.74.166.1于20210527 20:57:03针对站点子站发起攻击初始攻击行为是通过head方法
探测存活的目录 由于服务器只返回头部信息 因此扫描速度较快。

备注

IIS的访问日志时间为格林威治时间 比北京时间早8个小时 因此换算成北京时间需要+8小时。


2.1.2 寻找上传点

向以下上传点上传数据但均已失败告终 服务器返回的302、500、404。


累计尝试65次。


2.1.3 上传web后门(小马)

在攻击过程中发现以下存活的上传点。


20210527 22:55:23成功向网站目录/cn/about/上传一句话后门文件2021052722545154510947.txt
因为20210527 22:55:26更换攻击源ip成功访问后门文件 与上一次攻击行为时间相差3秒



由于一句话后门文件是txt后缀 但是iis可将其当做可执行的脚本文件 因此iis可能存在文件解析漏洞。

从开始攻击至成功上传网站后门文件该ip累计进行了1561次攻击 攻击期间未被安全软硬件拦截。
2.2 194.5.49.22攻击行为

2.2.1 上传web后门(大马)

攻击者更换攻击源ip 194.5.49.22于20210527 22:55:26通过后门程序小马 成功向目录/cn/about上传后门程序
大马wocao.asp。于20210527 23:58:53通过后门程序 大马 获取了操作系统管理员权限。



备注

iis默认使用administrator运行 因此攻击者通过后门程序 大马 获取的shell权限即为管理员权限。

2.2.2 后续情况

以下行为根据事实情况进行叙述：

2.3 150.107.1.89攻击行为

2.3.1 上传操作系统后门

于20210603 01:24:50 通过网站后门上传操作系统端口转发工具后门程序 这里没有关联
web后门但是攻击者是有途径通过web后门上传操作系统后门。



该程序作用于反弹shell至互联网供攻击者使用 将本地的rdp远程桌面3389
端口映射到互联网ip的23452端口。




该程序已运行。


且攻击源已通过建立的后门管理员账户Adm与本地3389端口建立网络连接。


查找任务计划 自启动 服务 用户登录自启动机制未发现该程序可自启动 且通过kill进
程pid 42980后 未发现该程序可自启动。

2.3.2 后续情况

以下行为根据事实情况进行叙述：

攻击者在20210603通过web后门程序 大马 或操作系统后门第二次篡改本单位门户网站首页内容；

被主管单位监测通报；

该单位安服公司经检查未发现攻击入侵源头和入侵途径；

应用开发公司经检查发现篡改的途径和篡改的内容并将其清除；

我司赴现场应急对攻击进行溯源。