一次对某集团网站被入侵后的分析

栏目: 编程工具 · 发布时间: 6年前

通过监测发现,2018-8-28-15:30左右安全设备产生大量“上传漏洞攻击”和“一句话木马”的告警,发现攻击源为IP:110.185.170.221 地理位置:四川成都;被攻击IP:10.100.250.15 端口:81 ,该服务器为xxx公司网站英文版(www.xxx.com),如下图:

一次对某集团网站被入侵后的分析

图1-告警信息

通过对告警流量的分析,发现攻击者通过发送POST请求向site.aspx页面提交并执行了一段代码(代码经过BASE64编码),随后网站返回了一个含有一句话木马内容的页面,正是这段一句话木马的内容触发的告警,如下图:

一次对某集团网站被入侵后的分析

图2-发现一句话后门文件

随后对攻击者提交的POST数据进行分析,通过对BASE64编码的代码解码后,发现其最终执行的代码为:I:\website\xxx.com\aaa.asp (访问xxx.com网站根目录下的aaa.asp文件),而这个aaa.asp正是一个一句话后门。由此可以证实该网站已经被植入一句话木马,而site.aspx页面能够执行命令且查看文件的行为也很可疑。

通过对攻击IP:110.185.170.221的流量回溯分析后发现,从8月28日9:52开始改IP便开始对服务器10.00.250.15的80、81端口发起WEB扫描,如下图:

一次对某集团网站被入侵后的分析

图3-web扫描

对HTTP访问日志的分析后发现,攻击者访问频率最高的为http://www.xxx.com.hk/Login.aspx和http://xxx.xx.xx.77:81/Upload/9/2000/site.aspx两个页面,如下图:

一次对某集团网站被入侵后的分析

图4-1-页面访问

一次对某集团网站被入侵后的分析

图4-2-页面访问

接着着重对这两个页面的数据进行分析。通过分析发现页面http://www.xxx.com.hk/Login.aspx为网站后台登录页面, 简单测试后发现该登陆页面没有设置登陆尝试次数限制和验证码等安全措施,且没有过滤用户的输入,存在 SQL 注入漏洞和暴力破解的风险,如下图:

一次对某集团网站被入侵后的分析

图5-Login.aspx

分析相关数据包发现,攻击者正利用此页面发起暴力破解攻击和SQL注入攻击,如下图:

一次对某集团网站被入侵后的分析

图6-暴力破解攻击

暴力破解不成功,随后发起SQL注入攻击,如下图:

一次对某集团网站被入侵后的分析

图6- SQL注入攻击

攻击者通过sql注入漏洞,成功获取了用户名为“yangfang”的账号和登录密码并登录账号进入了后台,如下图:

一次对某集团网站被入侵后的分析

图6-攻击者使用yangfang账号登录

登录后台后,从HTTP访问日志中可以发现攻击者便开始频繁访问http://xxx.xxx.xx.77:81/Upload/9/2000/site.aspx页面。这个site.aspx文件到底是网站原有的文件还是攻击者上传的可疑文件呢?

于是,先找到攻击者第一次访问site.aspx页面时的HTTP日志,发现在访问site.aspx页面之前攻击者还先POST请求了一个/visual.aspx?ucfi=&EVENT=***的页面,如下图:

一次对某集团网站被入侵后的分析

图7- 上传页面

随后找到访问该页面时的流量,通过流量分析,发现该页面为后台文件管理的页面,攻击者通过此页面上传了site.aps文件到/Upload/9/2000目录下,从流量中可以看到site.aspx也是一个后门文件,如下图:

一次对某集团网站被入侵后的分析

图8-上传一句话木马site.aspx

之后经证实,由于该页面未对上传的文件做任何检测和限制,攻击者正是通过此页面轻松上传了这个一句话木马文件site.aspx。

一次对某集团网站被入侵后的分析

图7-文件上传点

在之后的分析中,同时在/Upload/9/2000目录下还发现了多个其他的后门文件,如下图:

一次对某集团网站被入侵后的分析

图9-其他后门文件

由此可见该服务器早已经被多人控制,且上传了各种后门文件和程序,不排除攻击者通过后门已经提权成功获取了对整个服务器的控制权限。由于网站目录文件较多,且服务器上不止存在一个网站,建议及时删除已知的后门,并对网站全站以及服务器进行深入排查。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

与机器赛跑

与机器赛跑

[美]埃里克·布林约尔松(Erik Brynjolfsson)、[美]安德鲁·麦卡菲(Andrew McAfee) / 闾佳 / 2013-1-20 / 6.00

一场数字革命正在加速进行。 一些科幻小说里的场景已经在现实中发生:无人驾驶汽车开上了公路;智能设备能高效地翻译人类语言;人工智能系统在智力竞赛里击败了所有人类选手;工厂雇主开始购买更多的新机器,却不招新工人…… 这些例子都证明,数字技术正在快速地掌握原本只属于人类的技能,并深刻地影响了经济。虽然大多数影响是积极的:数字革新将提高效率、降低商品价格(甚至到免费),以及增加经济总量。 ......一起来看看 《与机器赛跑》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器