信息安全应急响应系列之网站入侵分析.ppt

网站恶意木马扫描器(Webshell Scanner) Linux下常用的响应工具 工具 主要功能 ps 可查看系统当前运行的进程 Locate/find 用于查找指定名称的文件 Netstat 列出所有监听端口及这些端口的所有连接者 Grep/awk 列出所有包含指定字符串的文件，可以用于查找可以的后门以及Webshell文件 strace 开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为，并且来决定是否是合适的程序。 Grep命令的使用 查找一句话木马（?php eval($_post[cmd]);?） 假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件： 方法1： $ grep -i –r eval\(\$_post /app/website/* 其中-i表示不区分大小写，-r表示搜索指定目录及其子目录 方法2: $find /app/website/ -type f|xargs grep eval\(\$_post ?xargs 将find搜索出的文件名称变成 grep后面需要的参数 strace命令的使用 作用：跟踪程序执行时的系统调用和所接收的信号，通常的用法是strace执行一直到command结束。 示例： 用strace来调试apache的执行过程，比如apache的PID为3334，命令如下： #strace -p 3334 -e trace=open,read apache在打开AllowOverride All时strace apache的进程会发现有很多open操作，apache需要遍历web目录下所有的目录查找.htaccess文件，当设置为none时open操作明显减少，可以结合压力测试看到效果。 数据分析 针对收集到的账户信息、文件修改情况、系统日志、网站日志等进行综合分析和归纳，确认是否存在以下情况： 系统含有非法账号 系统中含有异常服务程序 系统部分文件被篡改，或发现有新的文件 系统安全日志中有非正常登陆情况 网站日志中有非授权地址访问管理页面记录 数据分析 通过异常文件的创建和修改时间，一般可以判断攻击者对网站进行入侵的时间段； 对异常服务或进程的追踪，可以查找恶意文件，确认攻击后的后门，以及攻击时间； 网站目录下的异常文件，对判断攻击手段具有参考意义； 网站访问日志可以对攻击手段、时间和攻击源地址的追踪提供有力的证据。 系统安全日志中的登录信息同样可以用于判断攻击者来源。 第四节：收尾及报告撰写 收尾工作 拷贝系统日志、网站访问日志、异常文件以及截图文件； 在得到客户许可的情况下，删除恶意程序、服务； 如有必要，对确认已删除非法文件的网站程序文件和数据库进行备份； 恢复网站业务正常运行； 锁定网站服务器。 报告的撰写 严格按照《 BJCA安全服务记录单》的模板进行应急响应报告的撰写； 报告中需客观描述客户的问题以及对我方的需求； 描述分析过程，确保结论有据可查，配以截图等形式来展示； 提出有效的安全建议； 将报告提交给项目经理，项目经理有义务对报告进行审核，避免泄密或错别字等现象出现。 第五节：典型案例介绍 案例一：北京市XX局网站服务器被控制 问题： 北京市XX局工作人员被报告其服务器在对网络中的其他主机进行ARP攻击。登录到该服务器上，发现一个新的管理员用户，怀疑该服务器已经被恶意攻击者所控制。 客户要求我公司工程师查找服务器出现问题的原因，并找出黑客是如何攻击、并获取该服务器权限的，从而避免以后出现同样的问题。 分析过程 查看服务器进程信息，有许多xiao$的进程存在； 检查系统用户， 发现异常账号xiao$ 分析过程（续） 查看服务器文件修改情况，发现许多黑客工具 分析过程（续） 查看中间件配置文件 检查中间件的upload文件 分析过程（续） 分析WebLogic日志，发现来自湖北省孝感市电信用户IP：访问WebLogic控制台，并创建新的项目 结论 恶意攻击者（源IP地址为：）利用WebLogic控制台默认管理员用户名和密码，增加了新的项目，生成了WebShell； 通过WebShell添加了新的管理员账号，进而获取服务器的控制权限； 恶意攻击者在登陆操作系统后，对服务器所在局域网进行了嗅探和ARP攻击，以及网络扫描攻击。 案例二：北京市XX委网站页面被挂马 问题： 北京市XX委工作人员被报告其服务器页面存在被挂马的现象，访问指定页面时，被防病毒软件报警提示。 客户要求我公司工程师查被挂马问题的原因，并找出黑客是通过哪种漏洞实施的攻击，从而避免以后出现同样的问题。 分析过程 挂马页面分析：找出访问时被挂马页面