分享信息安全工作小记WooYun知识库.docVIP

分享信息安全工作小记WooYun知识库 分享信息安全工作小记WooYun知识库 分享信息安全工作小记WooYun知识库 分享信息安全工作小记 WooYun 知识库 分享信息安全工作小记 健宇 · 2014/09/05 16:110x01 工作背景： 1、 某厅级部门政府站点被窜改 2、 上司主管部门安全通知 3、 配合该部门查明原由限时整顿 0x02 工作记录： 1、 信息采集 A、第一到机房认识了一下拓扑图，大体就是：互联网 -防火 墙-web 应用防火墙 -防窜改 -DMZ 服务器区； B、而后认识了一下 web 应用程序架构，大体就是： 3 台服 务器里面 1 台跑 iis 中间件 1 台跑 sqlserver2008 数据库，站 库分别，服务器性能比较好， 1 台 syslog 服务器接收日记； C 、网站属于 .net 开发，以前加固过： a、后台限制 IP 接见， b、 FCKEDITOR 上传目录严禁履行， c、sqlserver 数据库降低权限使用 network service 而且封闭 cmdshell 等高危组件。 2、 访谈管理员 A、与管理员交流得悉某个 HTML 页面被黑客窜改了一些不 好的内容，查察数据库日记以及数据库中记录的网站操作记 录剖析判断不属于后台管理员改正； B、查察 web 应用防火墙日记的时候发现并未记录任何日记， 访谈得悉机房防火墙坏掉了，就改动了一下线路，全部恳求 web 服务器的用户都不会经过 web 应用防火墙，相当于就是 个陈设； C 、FCKEDITOR 编写器随意上传破绽早在 2013 年就已经 存在，当时开发商没有历史源代码没法升级采纳 web 应用防 火墙 +IIS 限制履行权限方法； D 、2013 年湖南省金盾信息安全测评中心的信息安全等级保 护测评报告提出的整顿建议甲方不知道怎样整顿就没有整 改到位。 3、 状况剖析 在初步认识完状况此后，对 web 目录进行可疑文件挑选： （黑客所搁置的后门程序，文件改正时间被假装） （webshell 内容，变异的一句话） （经过 FCKEDITOR 编写器上传的一句话木马文件初步判断为 2014 年 6 月 30 日黑客攻击） 初步判断为 FCKEDITOR 编写器被黑客利用了， 接下来对 iis 36GB 日记进行压缩打包： （成功打包网站日记） （以 webshell 路径做为挑选条件初步迅速从 33GB 日记文件 内找出全部可疑 IP 地点以实时间） 入侵手段剖析：最后剖析得悉最早黑客攻击利用 Common/UpLoadFile.aspx 文件上传了 ASPX 木马文件在 common/201406/20140619183500432547.aspx ， 此上传功能并未调用 FCKEDITOR 编写器，以前加固限制 FCKEDITOR 编写器上传文件履行权限成功阻挡了黑客利用该破绽 黑客经过 /common/201406/20140619183500432547.aspx 了/userspace/enterprisespace/MasterPages.aspx  文件写入 一句话 木马文件， 后续接踵写入了以前扫描出的可疑 ASPX 文件，成功固定了 黑客入侵手段、时间、 IP 地点、综合剖析在服务器的操作记 录，因为综合剖析操作记录部分波及到该单位隐私信息不便 公然 4、 反向浸透取证定位 在对 3 个月内日记认真剖析发现几个可疑的重庆和广东 IP 地点中 113...173 并未攻击成功，其余 4 个 IP 地点为 人或许 1 个团伙所使用 IP 地点：  5 个 1 （黑客利用 FCKEDITOR 编写器破绽成功成立了 a.asp 文件夹试试利用 IIS 分析破绽，可是因为 IIS 中进行过安全配置以 及 IIS7.5 已经修理该分析破绽入侵并未成功，故忽视） 对节余的 4 个 IP 地点认真剖析发现 61...181 属于一个黑客使用的 windows 服务器： （对该服务器进行采集得悉操作系统为 windows2003 ，阅读 器 ie8.0 ，绑定域名 www.** ） 接下来对该服务器进行浸透测试，目的拿下其服务器获得黑 客使用该服务器做跳板的日记以及黑客的真切 IP 地点，对其进行端口扫描结果： PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 6.0 808/tcp open http Microsoft IIS httpd 6.0 1025/tcp open msrpc Microsoft Windows RPC （能够 openvas 或许 nessus 远程获得一些 RPC 信息） 1