孕妇能吃菠萝吗,西安景点,家居热线-校园货铺实验室-创业起点从大学开始

频道:新闻世界 日期: 浏览:217

*本文原创作者:feiniao,本文属FreeBuf原创奖赏方案,未经许可制止转载

一 根本状况 1.1 扼要

此事情是上一年应急处置时完结的陈述,距今有半年时刻了。一向存在电脑里,最近预备完善应急呼应中遇到的各类安全事情,这篇文章作为这一系列的开始。

关于 Linux 安全查看,个人上段时刻写了个 shell 用于一键进行 Linux 安全查看,本文对 Linux 的查看运用相关脚本均可完成,相关链接如下:

1.2 状况简介

2018 年 11 月 8 日,我司「捕影」应急呼应小组接到驻场团队反应,某用户 OA 被 360 浏览器提示「网站存在数字钱银挖矿行为」,我司应急呼应小组进行剖析后确以为实在事情,随后进行黑客侵略剖析。

1.3 应急成果

经过剖析,判别此次事情为黑客歹意进犯所造成的,经过安徽三实「捕影」应急呼应小组的剖析,现在得到以下定论:

1. 此 OA 为某用户老的 OA,由于需求运用其数据才暂时启用。

2. 此服务器对应内部 IP 为 10.134.1.76,现在对互联网仅敞开其 6001 端口,22 端口只能经过内部拜访;现在仅对互联网敞开 6001 端口。

3. 体系账号正常

4. 网络衔接状况正常

5. 敞开端口过多,主张禁用非事务端口

6. 守时使命发现前史 (2018 年 10 月 29 日至 2018 年 11 月 8 日) 曾守时下载挖矿程序

7. 前史指令剖析前史曾下载挖矿程序

8. 发动项正常

9. 体系层面未发现病毒、木马、后门

10. 由于其 OA 日志仅保存 2018 年 11 月 13 日至 2018 年 11 月 14 日,黑客植入挖矿程序在 2018 年 11 月 8 号及从前,无相关日志,无法剖析黑客侵略的途径。

11. 现在追溯到 2018 年 10 月 29 日已被植入挖矿程序;2018 年 11 月 8 日或更早被植入 JS 代码进行挖矿

12. 未保存黑客进犯时 web 运用的相关日志,无法经过日志剖析黑客侵略的方法,可是 webgloic 相关版别存在较多高危缝隙,估测运用 weblogic 缝隙侵略的或许性较大。

二 剖析进程

下面将针对此次应急处置的进程做大致的论述。

2.1 侵略现象

2018 年 11 月 8 日,我司「捕影」应急呼应小组接到驻场团队反应,某用户 OA 被 360 浏览器提示「网站存在数字钱银挖矿行为」,详细状况如下所示:

图 1-360 浏览器提示 OA 体系「网站存在数字钱银挖矿行为」

2.2 挖矿验证

360 浏览器提示「网站存在数字钱银挖矿行为」, 阐明或许存在相关行为。我司应急呼应人员对其网站源码剖析,发现页面有多处加载 JS 的行为,经过对加载的 JS 逐个剖析,发现有一处 JS 有可疑。

图 2-OA 加载 JS 脚本

对这一 JS 脚本进行剖析,发现该脚本确实被植入 JS 挖矿脚本,详细如下:

图 3-OA 加载挖矿脚本

图 4-挖矿 JS 代码功用

图 5-挖矿 JS 源码

图 6-挖矿网站

图 7-LoginID 细节

能够看到,这儿面的 ID31f7dd372f1545eeb6db379490b0e3c5 为 LoginID, 而非 XMR 的地址,经过将 XMR 地址经过相应的算法转换为 LoginID, 防止了查找实在的 XMR 地址,起到了保护隐私的意图。

经过上面的剖析,能够看到该 JS 的大约功用如下:

矿池地址 wss://xmr.omine.org:8181 挖矿方法 网页挖矿 (JS 挖矿) 正常用户拜访被植入 JS 的网站 (OA 体系),正常用户的浏览器都会主动为进犯者挖矿。挖矿运用 CPU 挖矿,浏览器会占用一切的 CPU 资源。 植入的 JS https://xmr.omine.org/assets/v7.js XMR 地址 无法查到,进犯者将 XMR 地址运用算法转换为 LoginID,然后防止查找其 XMR 地址以及相关的挖到数字钱银的相关数据。 LoginID: 31f7dd372f1545eeb6db379490b0e3c5 挖矿 JS 被植入时刻 2018 年 11 月 8 日或更早 挖数字钱银类型 XMR 门罗币, 一种全匿名的数字钱银。其特色在于交易进程全匿名,无法追寻。

服务器被植入挖矿脚本阐明服务器必定被黑客侵略了,由于现在 OA 体系服务器仅 6001 端口对互联网敞开,因而经过 web 运用侵略的或许性比较大。别的,黑客侵略今后或许会对体系及运用进行操作,如添加账号、敞开端口、添加守时使命、自发动程序、植入 webshell、后门等,因而需求对体系对 web 运用进行全面剖析,以发现黑客或许进行的歹意操作行为。

2.3 体系剖析

2.3.1 敞开端口剖析

对 OA 服务器的敞开端口, 发现其敞开以下端口。

图-8-敞开端口

序号 敞开端口 运用 主张 1 21 vsftpd 主张只对内网敞开,而且拜访需求经过堡垒机。 2 22 SSH 主张只对内网敞开,而且拜访需求经过堡垒机。 3 111 portmap 主张剖析,并决议是否需求封闭 4 631 cupsd 主张剖析,并决议是否需求封闭 5 925 rpc.statd 主张剖析,并决议是否需求封闭 6 2207 python 主张要点剖析,并决议是否需求封闭 7 2208 hpiod 主张剖析,并决议是否需求封闭 8 6001 OA 运用端口 主张经过 WAF 防护

定论:经过以上剖析,能够看出该台服务器敞开较多非事务端口,主张依据实际状况进行决议是否需求敞开。

2.3.2 网络衔接剖析

经过剖析 OA 服务器,现在只发现有以下衔接。

图 9-网络衔接状况

相关衔接效果首要如下:

序号 衔接 阐明 1 10.134.1.76:*->10.134.1.74:1521 和 Oracle 数据库交互,其为用户拜访 OA 时调用后台数据库 2 10.134.1.76:22<-10.134.8.222 内部运维拜访该服务器 3 10.134.1.76:6001<-220.178.108.2 用户经过互联网拜访 OA

定论:经过上面的剖析,能够看出网络衔接层面正常。

2.3.3 账号剖析

2.3.3.1 root 权限用户

现在仅有 root 一个用户具有 root 权限。

图 10-root 权限用户

2.3.3.2 可登录用户

OA 服务器有三个用户能够运用 SSH 方法进行登录:root、ahsx、suncn

图 11-可登录用户

经过/etc/shadow 文件剖析,也仅 root、ahsx 和 suncn 三个账号能够登录。

图 12-可登录用户

定论:经过上面的剖析,能够看出账号层面正常。

2.3.4 守时使命剖析

经过剖析,体系未见守时使命。

图 13-守时使命

可是对/var/log/cron*日志剖析,发现存在 5 个相关的日志。

图 14-守时使命日志

对日志内容进行剖析,发现 10 月 29 日 0 点 08 分 01 秒运用 root 账号下载一个 sh 文件。

图 15-日志剖析

该守时使命一向到 2018 年 11 月 8 日 17:49:01 秒才完毕。

图 16-守时日志剖析

2.3.4.1 mr.sh 脚本剖析

对 mr.sh 脚本进行剖析,发现 mr.sh 脚本功用十分强壮。大约功用如下:

1. 杀掉部分进程、网络衔接

2. 更改主机的 iptables,回绝部分主机拜访

3. 主动下载其他歹意脚本、文件, 并履行

4. 将歹意脚本加入到自发动中

5. 删去装置后的歹意脚本与暂时文件

图 17-mr.sh 脚本内容

2.3.4.2 wc.conf 剖析

wc.conf 该文件首要为挖矿的装备文件,里边包含矿池地址、矿工名以及挖矿的相关装备。

图 18-wc.conf 剖析

经过以上的剖析,能够看到,黑客在 2018 年 10 月 29 日 0 点 08 分 01 秒前现已侵略该台服务器,植入挖矿程序,直到 2018 年 11 月 8 日 17 时 49 分该挖矿程序才中止。

2.3.5 前史指令剖析

经过对前史指令剖析,能够看到曾履行以下歹意脚本。经过对脚本内容剖析,发现其是一个挖矿脚本,和 http://www.tionhgjk.com:8220/mr.sh 为同一脚本。

图 19-部分前史指令

图 20-192.99.142.246:8220/mr.sh 歹意脚本内容

定论:前史指令发现曾履行歹意脚本,脚本首要功用为下载挖矿程序。

2.3.6 Hosts 文件剖析

Host 文件记载域名到 IP 的对应联系,在查询时其优先等级高于 DSN 查询,黑客经常将正常域名解析到黑客操控服务器的 IP 地址上,以完成监听、署理等功用。对 OA 服务器的 hosts 文件剖析,其解析状况正常。

图 21-hosts 装备剖析

定论:hosts 文件正常。

2.3.7 登录日志剖析

Last 记载 OA 服务器最近用户的登录退出等状况,经过对最近登录状况 (登录用户、登录 IP、登录时刻等内容) 的剖析,能够了解体系的安全状况。对最近登录状况剖析,发现 OA 服务器最近登录状况正常。

图 22-最近登录状况

图 23-最近登录失利状况

图 24-最近登录用户状况

定论:最近登录状况正常。

2.3.8 发动项剖析

发动项记载体系自发动的状况,若黑客侵略植入木马或后门为了继续操控该服务器,会将相运用服务加入到自发动服务中。这样的话,在重启今后,也能够继续操控该服务器。对 OA 的自发动剖析,发现其自发动服务较多,未发现显着反常自发动服务。

图 25-发动服务

定论:未发现反常自发动服务

2.3.9 病毒木马剖析

Linux 下病毒木马相对较少,可是也存在。Linux 下首要的安全隐患是 rootkit,rootkit 是一种歹意程序,一般会和病毒木马后门程序等绑缚在一起装置。而且体系被植入 rootkit 今后,经过体系无法查找其文件、进程、网站流程、账号等状况。扫除难度较大。查找 rootkit 一般经过东西查找,rkhunter 是一款不错的 rootkit 查找东西。这儿,咱们运用 rkhunter 来查找 rootkit。

图 26-rkhunter 查找 rootkit

图 27-查找 rootkit 日志

定论:经过以上剖析,现在 OA 服务器无 rootkit

2.3.10 体系剖析总结

经过以上的剖析,能够得出体系层面以下定论:

1、体系账号正常

2、网络衔接状况正常

3、敞开端口过多,主张禁用非事务端口

4、守时使命发现前史曾守时下载挖矿程序

5、前史指令剖析前史曾下载挖矿程序

6、发动项正常

7、未发现病毒、木马、后门

由于该服务器只对互联网敞开 web 端口,而且经过体系层面的剖析到该服务器从前守时下载歹意脚本,因而根本断定黑客是经过 web 方法侵略服务器的。因而,需求对 web 运用进行全面的剖析,经过和 OA 开发人员交流,其网站后台的保护悉数经过操作体系后台进行保护,前台无法保护。因而需求对 web 运用进行全面剖析。

2.4.1 Webshell 剖析

运用 D 盾对 web 运用进行 webshell 查杀,未发现 webshell。

图 28-运用 D 盾查看 webshell 状况

定论:无 webshell, 而且前文剖析到体系中无后门与木马,因而开始断定黑客是经过运用的缝隙来侵略体系,而且该缝隙能够履行体系权限。

2.4.2 日志剖析

现在 web 日志只保存 2018 年 11 月 13 日到 14 日的日志,由于黑客侵略在 10 月 29 号或从前,因而无法经过日志剖析黑客侵略的方法。

图 29-拜访日志

定论:由于日志只保存 11 月 13 日与 14 日,无法经过日志剖析黑客的侵略方法。

2.4.3 Weblogic 剖析

已然前面现已断定黑客是经过 web 方法侵略的,而且这种利益驱动的黑客侵略的方法一般为运用现有的缝隙批量侵略,因而需求对 web 运用的中间件及版别进行剖析,再经过中间件类型与版别相关相应的缝隙进行剖析黑客或许的侵略途径。

经过剖析,OA 体系运用的是 weblogic 中间件,经过查看 registry.xml 装备文件剖析,发现其 weblogic 的版别为 10.3.6.0。经过 google 查找相应的缝隙,发现该版别存在多个严重缝隙,可运用该缝隙 getshell,拿到服务器权限。相应的缝隙 CVE 编号如下:

1. CVE-2014-4210

2. CVE-2015-4852

3. CVE-2017-3248

4. CVE-2017-10271

5. CVE-2018-2628

……

图 30-weblogic 10.3.6 缝隙

图 31-weblogic 版别

图 32- CVE-2017-10271

图 33- CVE-2018-2628 缝隙

定论:由于该服务器对外只敞开 web 事务,根本上断定黑客是经过 web 进口侵略,别的,由于该版别存在较多高危缝隙,开始置疑经过该缝隙侵略的或许性比较高。主张晋级 weblogic 的版别或运用 WAF 进行防护。

2.4.4 运用剖析总结

由于运用日志只保存 11 月 13-14 日日志,无法经过日志剖析黑客侵略的方法,而且 weblogic 10.3.6.0 版别存在较多高危缝隙,因而开始断定黑客是经过 weblogic 缝隙侵略。

2.5 剖析总结

1. 此 OA 为某用户老 OA,由于需求运用其数据才暂时启用。

2. 此服务器对应内部 IP 为 10.134.1.76,现在对互联网仅敞开其 6001 端口,22 端口只能经过内部拜访;现在仅对互联网敞开 6001 端口。

3. 体系账号正常

4. 网络衔接状况正常

5. 敞开端口过多,主张禁用非事务端口

6. 守时使命发现前史 (2018 年 10 月 29 日至 2018 年 11 月 8 日) 曾守时下载挖矿程序

7. 前史指令剖析前史曾下载挖矿程序

8. 发动项正常

9. 体系层面未发现病毒、木马、后门

10. 由于其 OA 日志仅保存 2018 年 11 月 13 日至 2018 年 11 月 14 日,黑客植入挖矿程序在 2018 年 11 月 8 号及从前,无相关日志,无法剖析黑客侵略的途径。

11. 现在追溯到 2018 年 10 月 29 日已被植入挖矿程序;2018 年 11 月 8 日或更早被植入 JS 代码进行挖矿

12. 未保存黑客进犯时 web 运用的相关日志,无法经过日志剖析黑客侵略的方法,可是 webgloic 相关版别存在较多高危缝隙,估测运用 weblogic 缝隙侵略的或许性较大。

三 主张

1. 晋级 weblogic 版别或许运用 WAF 进行防护,一起需求晋级 WAF 战略库,以保证能够防护相应的缝隙

2. 定时对服务器进行安全查看

3. 老的 OA 主张将相关数据迁移到新的 OA, 将老的 OA 暂停运用

4. 定时对网站进行浸透测验与安全监测

5. 定时晋级 WAF 战略

*本文原创作者:feiniao,本文属FreeBuf原创奖赏方案,未经许可制止转载

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。