记一次Web应急响应处置

记一次Web应急响应处置

1、异常现象确认
客户反馈访问公司网站首页,会跳转到违规网站。根据问题现象,展开排查。
访问公司首页,会跳转到违规网站。

2、溯源分析过程
2.1、事件排查
根据跳转到的博彩页面显示的域名,使用Notepad++在C盘中查询含有违规恶意域名www.hzwx.***的文件

查询结果如下如所示:

对查询到的信息,到对应含有恶意域名的文件中进行查看,发现Conn.asp文件中存在恶意域名和执行跳转代码:

<% 
Response.Redirect("http://www.hzwx.***")
Response.End 
%>


通过查看Conn.asp文件的修改时间为:2021年6月26日17点33分

删除对应的恶意内容信息,对网站进行恢复操作

访问网站首页,业务恢复正常

2.2、溯源分析
在2021年6月26日17点23分左右,192.168.100.253使用远程成功桌面登录服务器
登录类型为:10(远程交互),攻击者IP地址为:192.168.100.253


在2021年6月26日17点45分左右,攻击者192.168.100.253中断连接

使用Systeminfo命令,查看系统中也缺少永恒之蓝等重要漏洞补丁kb

使用D盾扫描工具进行全盘查杀,发现存在webshell后门代码

查看网站站点的web日志,最后日志保存时间为:2021年6月26日17点34


从web日志中分析发现大量HEAD请求,推测攻击IP 192.168.100.253使用扫描工具于2021-06-26 09:29:30对网站进行了目录扫描操作

目录扫描扫描攻击持续到2021-06-26 09:29:43停止扫描操作

攻击者192.168.100.253,从2021-06-26 09:29:52开始对站点登录后台尝试登录


查看访问日志,登录失败后会进入到报错页面


判断在 2021-06-26 09:30:39 左右攻击者使用可能成功爆破出的admin/***弱口令登录成功,跳转到后台系统页面


2021-06-26 09:31:45 在站点后台,”网站配置”修改了网站名称,对应的站点文件为config.asp,并多次访问此文件


进入到站点目录下,查看config.asp文件,确认被植入了一句话后门木马,显示最近修改时间为2021年6月26日 17:31分


对修改的恶意代码进行删除

推测攻击者192.168.100.253通过目录扫描到后台登录页面,再利用弱口令成功登录后台,对配置信息进行尝试,使用闭合引号插入webshell代码–在【网站配置】-【网站名称】文本框中插入后门代码
如下进行复现操作:插入测试代码"%><%response.write("123")%><%'

打开Config.sap文件发现成功把测试后门代码插入到了相关位置

访问config.asp,代码可正常识别成功并执行输出“123”

恢复文件内容,删除恶意代码

3、应急响应事件结论

现象/问题:客户反馈访问网站首页会跳转到违规网站,排查发现Conn.asp文件内容被篡改,插入了违规页面的跳转代码,访问网站时会跳转到http://www.hzwx.***/。

处置情况:删除源代码中删除恶意域名及后门代码等

结论:通过查看web日志和安全日志,发现攻击者192.168.100.253首先在2021-06-26 09:29:30对后台系统进行目录扫描,于2021-06-26 09:29:43停止扫描,随后对发现到后台登录页面进行测试登录,利用账号密码弱口令在2021-06-26 09:30:39成功登录系统后台页面,通过使用引号闭合修改了站点文件config.asp,插入了webshell后门代码,随后对Conn.asp文件进行恶意代码添加,使用户访问首页跳转到违规网站。

eg:本次事件响应均为靶场环境中进行,如有不足之处还望各位师傅指出改正~

转载请说明出处内容投诉
CSS教程_站长资源网 » 记一次Web应急响应处置

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买