應急響應處置案例(上)

本文目錄

目錄

本文目錄

Web安全事件

概述

案例1 - webshell

背景

排查情況

天眼

服務器

案例2 - Struts2

排查情況

天眼

服務器

案例3 - Redis未授權

背景

排查情況

天眼

服務器

案例4 - EW內網穿透

背景

排查情況

天眼

服務器

案例5 - 一句話木馬

背景

排查情況

天眼

服務器

案例6 - CobaltStrike木馬

背景

排查情況

天眼

服務器

案例7 - 用友NC上傳漏洞

背景

排查情況

天眼

服務器

天眼


Web安全事件

概述

出現網站頁面被替換或大量植入博彩頁面、色情連接、反動標語、網頁跳轉、植入WebShell/后門等現象

案例1 - webshell

背景

客戶描述,服務器被攻擊,嚴重影響業務,需要應急

排查情況

天眼
  • 發現大量冰蝎、蟻劍成功連接告警

服務器
  • 進程排查:排查服務器進程,發現惡意進程

  • 用戶信息排查:排查登陸信息,發現有root賬戶重復登陸的情況,IP經確認非正常會用來登陸的IP

  • 網絡排查:發現一個訪問的可疑IP,客戶說這個IP不通,但經過自己測試是可以ping通的(客戶有時不可信,用事實說話

  • 文件痕跡排查:全盤搜索木馬,發現上傳的木馬

  • 文件痕跡排查:發現攻擊者的上傳的masscan、frp

案例2 - Struts2

通過天眼告警,發現服務器被攻擊者利用struts2漏洞攻擊成功

排查情況

天眼

服務器
  • 文件痕跡排查:在home目錄下發現了利用工具

  • 日志分析:history檢查命令執行記錄,發現利用了shiro-tool.jar

  • 日志分析:查看shiro日志,發現有攻擊成功的標識

  • 文件痕跡排查:檢查tmp目錄,發現有frp配置文件,獲取到攻擊者的IP

下一步再回到天眼,檢索有沒有與這個IP交互的記錄,有的話就說明攻擊成功了

案例3 - Redis未授權

背景

天眼告警存在redis未授權訪問漏洞

排查情況

天眼

  • 發現似乎對于/root/.ssh/進行了操作

  • 檢索攻擊IP為此臺受害主機IP的告警記錄,發現沒有告警,可以判斷受害主機沒有被當成跳板機
服務器
  • 文件痕跡排查:檢查/root/.ssh/目錄,發現攻擊者秘鑰信息

  • 用戶信息排查:根據攻擊IP檢查登陸情況,確定攻擊者的登陸時間和使用的賬戶,發現先用root登陸再用test登陸,可能新建了賬號

  • 用戶信息排查:檢查/etc/passwd文件,發現test賬號有root權限,基本可以判定是攻擊者創建的

  • 日志分析:history查看命令記錄,發現創建了test賬戶

案例4 - EW內網穿透

背景

天眼告警發現黑客工具 - EarthWorm內網穿透工具

排查情況

天眼

服務器
  • 文件痕跡排查:檢查tmp目錄,發現有可疑文件update.ini,打開后發現里面是ssh密鑰,跟root目錄下的ssh密鑰一樣,可以判定為攻擊者的密鑰

  • 進程排查:有一個代理轉發了7009端口

  • 文件痕跡排查:全盤搜索木馬,發現上傳的木馬

  • 文件痕跡排查:根據時間點確定攻擊順序

案例5 - 一句話木馬

背景

天眼告警發現上傳一句話木馬

排查情況

天眼

一般出現這種告警都帶有木馬的路徑,直接服務找就行

服務器
  • 文件痕跡排查:根據路徑找到木馬

  • 進程排查:發現還有一個ew進程,根據進程找到文件位置進行刪除

案例6 - CobaltStrike木馬

背景

天眼告警發現存在木馬遠控工具CobaltStrike RAT系列通信

排查情況

天眼

根據前后的告警可以大概判斷攻擊的順序:弱口令 --> 命令注入 --> 上傳木馬 --> 攻擊利用

服務器
  • 用戶信息排查:發現一個隱藏賬號a$

  • 文件痕跡排查:現場剛好有天擎,直接掃描發現木馬

  • 進程排查:從任務管理器查看a$起的進程,關閉并刪除對應惡意文件

案例7 - 用友NC上傳漏洞

背景

天眼告警發現利用冰蝎webshell工具連接后門

排查情況

天眼

服務器
  • 文件痕跡排查:D盾掃描發現后門文件

  • 進程排查:未發現異常外聯進程
  • 計劃任務排查:未發現異常
  • 用戶信息排查:未發現異常

不確定是怎么將后門傳上來的,應急響應中找到攻擊的路徑很重要

天眼

再排查天眼前面的告警,發現另一條利用用友NC上傳漏洞的告警

至此確定攻擊的路徑

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/diannao/93842.shtml
繁體地址,請注明出處:http://hk.pswp.cn/diannao/93842.shtml
英文地址,請注明出處:http://en.pswp.cn/diannao/93842.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

面試官問我:“為什么不能完全用對象替代指針?”我笑了:看看Google和Linux內核代碼就知道了!

本篇摘要 本篇將以最通俗易懂的語言,形象的講述為什么很多情境下,我們優先考慮的使用指針而不是對象本身,本篇將給出你答案! 一.從一個生活例子說起,形象秒懂 想象一下,你去圖書館借書,下面你…

CAMx大氣污染模擬全流程:Linux編譯/多重嵌套配置/SMOKE清單預處理/SA-DDM-PA工具應用與科研繪圖結果可視化分析

CAMx模型是一個基于大氣化學,針對臭氧、顆粒物和霧霾天氣過程的大氣污染物計算模型。【目標】:1、掌握CAMx模式的區域空氣質量模擬案例配置技術方法2、掌握SMOKE模型的CAMx模式大氣排放清單輸入準備方法3、掌握CAMx模式污染來源解析工具(SA&a…

嵌入式學習筆記-MCU階段-DAY10ESP8266模塊

1.ESP8266概述 官方網址:ESP8266 Wi-Fi MCU I 樂鑫科技 (espressif.com.cn) ESP8266模塊---wifi模塊 產品特點: 2.ESP8266中的wifi: ESP8266EX ?持 TCP/IP 協議,完全遵循 802.11 b/g/n WLAN MAC 協議,?持分布式控制功能 (DC…

如何快速通過軟件項目驗收,第三方軟件檢測機構的重要性

在客戶和開發團隊之間,最后臨門一腳的項目驗收環節總容易出現各種問題,以至于時間無限拉長,久久不見結束,為此給大家準備了一份如何快速通過軟件項目驗收的內容來幫助大家結束持久戰。 一、項目驗收準備材料 (一&…

洛谷做題3:P5711 【深基3.例3】閏年判斷

文章目錄題目描述輸入格式輸出格式輸入輸出樣例分析代碼題目描述 輸入一個年份,判斷這一年是否是閏年,如果是輸出 1,否則輸出 0。 1582 年以來,閏年的定義: 普通閏年:公歷年份是 4 的倍數,且不…

PMP證書可以掛靠嗎?怎么掛靠?

哈嘍學弟學妹們,作為過來人,今天想跟大家聊聊 PMP 證書掛靠這事兒 —— 可能不少準備考或者剛考完的同學都琢磨過,但學長得跟你們交個底:這事兒真不行,更別提啥掛靠費了。先說說 PMP 證書本身哈,它是美國 P…

91-基于Spark的空氣質量數據分析可視化系統

基于Spark的空氣質量數據分析可視化系統設計與實現 項目概述 本項目是一個基于Apache Spark的大數據分析和可視化系統,專門用于空氣質量數據的采集、分析、預測和可視化展示。系統采用分布式計算架構,結合機器學習算法,實現了對全國12個主要…

leetcode 2419. 按位與最大的最長子數組 中等

給你一個長度為 n 的整數數組 nums 。考慮 nums 中進行 按位與(bitwise AND)運算得到的值 最大 的 非空 子數組。換句話說,令 k 是 nums 任意 子數組執行按位與運算所能得到的最大值。那么,只需要考慮那些執行一次按位與運算后等于…

Git 命令使用指南:從入門到進階

目錄1. Git 基本操作1.1 添加文件到暫存區1.2 提交更改到本地倉庫1.3 查看工作區狀態1.4 查看提交歷史1.5 查看引用日志(包括已刪除的記錄)2. 版本回退與撤銷2.1 版本回退2.2 查看已刪除的提交記錄3. 分支管理3.1 查看分支3.2 創建并切換到新分支3.3 合并…

SQL數據庫連接Python實戰:疫情數據指揮中心搭建指南

SQL數據庫連接Python實戰:疫情數據指揮中心搭建指南從WHO數據集到實時儀表盤,構建工業級疫情監控系統一、疫情數據指揮中心:全球健康危機的中樞神經??疫情數據價值??:全球每日新增病例:50萬疫苗接種數據&#xff1…

參賽單位條件放寬!2025年“數據要素 ×”大賽福建分賽廈門賽區賽事有新調整

各位伙伴們 想抓住數據價值機遇 在行業賽場上嶄露頭角嗎? 2025年“數據要素”大賽 福建分賽廈門賽區已啟動 這份超全賽事解讀 帶你一站式摸清參賽關鍵! 01 參賽單位要求放寬 經省分賽組委會與國家賽事組委會溝通,不具有獨立法人資格的…

BasicAuthenticationFilter處理 HTTP 基本認證(Basic Authentication)的核心過濾器詳解

BasicAuthenticationFilter處理 HTTP 基本認證(Basic Authentication)的核心過濾器詳解在 Spring Security 中,BasicAuthenticationFilter 是??處理 HTTP 基本認證(Basic Authentication)的核心過濾器??&#xff0…

Next.js 中使用 MongoDB 完整指南

1. 安裝依賴npm install mongodb # 或者使用 mongoose(ODM) npm install mongoose2. 數據庫連接配置使用原生 MongoDB 驅動創建 lib/mongodb.js 文件:import { MongoClient } from mongodbconst uri process.env.MONGODB_URI const options …

嵌入式系統教學范式演進:云端仿真平臺如何重構溫濕度監測實驗教學

在嵌入式系統開發的教學中,環境溫濕度監測實驗是經典的入門項目。它涉及傳感器原理、外設驅動、數據采集和通信協議等核心知識點。然而傳統實驗模式面臨硬件成本高、調試周期長、設備易損壞等痛點。學生往往因接線錯誤或代碼bug導致傳感器或開發板燒毀,不…

1.6萬 Star 的流行容器云平臺停止開源

什么是 KubeSphere ? KubeSphere 是面向云原生應用的容器混合云。 KubeSphere 愿景是打造一個以 Kubernetes 為內核的云原生分布式操作系統,它的架構可以非常方便地使第三方應用與云原生生態組件進行即插即用(plug-and-play)的集成…

廣東省省考備考(第六十三天8.1)——資料分析、數量(強化訓練)

資料分析 錯題解析解析解析今日題目正確率:80% 數量關系:數學運算 錯題解析解析標記題解析解析解析今日題目正確率:87%

Agents-SDK智能體開發[3]之多Agent執行流程

文章目錄說明Agents SDK基礎Handoffs功能實現Handoffs簡單示例🌟 運行結果整理📝 執行過程概述📋 運行結果事件一:分診智能體創建轉交請求事件事件二:轉交響應事件事件三:目標 Agent 響應請求并完成任務改進…

深度揭秘端口映射:原理、場景、路由映射故障,與內網IP端口映射外網工具的選擇

內網設備連不上外網?本地網絡如何設置端口映射提供互聯網服務?路由器端口映射失敗怎么辦?沒有公網IP如何做端口映射?在網絡通信領域,端口映射是一項至關重要的技術。在內部網絡環境中,每一臺設備都被分配了…

協作機器人掀起工廠革命:碼垛場景如何用數據重塑制造業命脈?

在長三角某食品包裝工廠的深夜生產線上,大視協作碼垛機器人正在有序碼垛,動作比碼垛老師傅更精準。系統推送的實時能耗報表直接顯示在廠長手機上,整廠能耗同比下降約32%。這不是魔法,這是"一切數據業務化、業務數據化"在…

LeetCode 刷題【24. 兩兩交換鏈表中的節點、25. K 個一組翻轉鏈表】

24. 兩兩交換鏈表中的節點 自己做 解:直接置換 /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode() : val(0), next(nullptr) {}* ListNode(int x) : val(x), next(nullptr) {}* ListNode(i…