紧急程序:
t3协议
临时处置方法:
1.及时更新补丁
2.禁用T3协议
3.禁止T3端口对外开放,或者限制可以访问T3端口的IP源
漏洞列表:
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2019-2890
CVE-2020-2555
协议
临时处置:
1.及时更新补丁
2.通过Weblogic控制台关闭IIOP协议
漏洞列表:
CVE-2020-2551
Redis 未授权
1.编写webshell
2.编写ssh密钥
3.写一个定时任务反弹shell
redis的攻击方法可以参考:
紧急程序:
检查配置信息是否有异常(可以根据显示的信息判断是哪种攻击方式)
配置获取 *
写ssh密钥
回弹壳
写入文件路径
检查关键信息是否有攻击团队特征信息
如果发现攻击团队在操作redis,可以使用monitor命令检测
修复建议:
针对非授权漏洞,增加密码认证
冰蝎和记忆马攻击
特点:后缀为动态脚本(jsp、asp、php)请求体加密状态
记忆马攻击的特点:通常没有登陆文件开头(直接使用某个文件夹作为路径)
应急思维
对于webshell,可以直接在web路径中搜索动态脚本文件,也可以直接在文件中搜索特征值
find / -name *.jsp | xargs grep "pass"
(pass是一个特征值,可以修改,如果返回内容过多,可以自己修改特征)
对于内存马weblogic日志文件路径,虽然有各种文章分析如何解压,但最简单的方法就是重启解决问题。
如果您想了解如何手动清理,请访问:
修复建议:
1.根据漏洞情况,如果是程序漏洞修复,可以
2.上传漏洞,禁止上传动态脚本文件,使用白名单机制只允许特定后缀上传
Windows 紧急想法
Windows 故障排除
对于已经有后门的机器,可以查看进程
使用pc hunter验证文件签名,发现有未签名的文件(红色),重点分析文件
颜色:
1. 驱动程序检测到的可疑对象、隐藏服务、进程、文件或挂钩函数的进程 > 红色。
2. File maker是微软的>black。
3.文件厂商不是微软的 > blue。
4. 验证所有数字签名后,对于没有签名或签名已过期或被撤销的模块, > 玫瑰红色。
5、查看链接模块时,微软进程链接其他公司模块 > 黄褐色。
定位文件,提取样本进行分析
直接上传样本到微博在线、奇安信威胁平台等进行沙箱分析
微博在线:
齐安心:
360:
如果找不到文件,可以查看网络连接,对可疑的外网IP进行威胁情报查询
在pchunter中定位可疑进程,如果不能上传工具,也可以手动定位
命令:任务列表 | findstr pid(网络连接最后一行的数字)
ps:建议直接输入路径
如果还是没有结果,可以分析虚拟机快照中的文件(注意请使用手机热点网络与单位网络隔离)
使用 Tinder Sword 捕捉过程动作
可在网络中查看,实时接入IP服务
如果病毒迁移到系统中,则封禁IP。 跟进发现主机问题,修补漏洞,重启。
Linux应急思考
对于攻击者来说,无论他如何隐藏,他总是需要流量。 我们主要分析流量。
netstat -anlpt 查看是否有恶意流量(通过威胁情报判断是否为恶意域名)
找到对应的流量连接位置
ls -al /proc/PID(根据查到的进程pid输入)
比如ls -al /proc/791
exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接
详细分析:
https://www.cnblogs.com/liushui-sky/p/9354536.html
找到样本文件上传微步在线分析数据
应急措施:
分析攻击手段,首先要确定主机运行的是什么系统,运行的是什么业务。 根据业务判断,可能存在漏洞,调取相应日志取证。 如果上面没有业务,也没有开放高危端口,可以检查是否是弱口令登录,查看登录日志。
最后是登录成功日志
lastb是登录失败,可以查看是否爆破
也可以通过比较登录用户和文件上传时间来分析
stat 查看日志创建时间
如果怀疑某个文件是木马控制端,可以直接调试该文件查看传输信息
strace -p pid #调试进程
Check the history 查看攻击者的执行历史,但可能会被删除
history 或 cat ~/.bash_history 查看历史命令并查找痕迹
应急措施:
1.对易受攻击的cms采取相应的修复方案
2、对于不知道攻击来源的登录方式weblogic日志文件路径,可以直接修改密码
祝HW好运!
时间线安全团队
安全路上,与你并肩同行