紧急程序:

t3协议

临时处置方法:

1.及时更新补丁

2.禁用T3协议

3.禁止T3端口对外开放,或者限制可以访问T3端口的IP源

漏洞列表:

CVE-2017-3248

CVE-2018-2628

CVE-2018-2893

CVE-2019-2890

CVE-2020-2555

协议

临时处置:

1.及时更新补丁

2.通过Weblogic控制台关闭IIOP协议

漏洞列表:

CVE-2020-2551

Redis 未授权

1.编写webshel​​l

2.编写ssh密钥

3.写一个定时任务反弹shell

redis的攻击方法可以参考:

紧急程序:

检查配置信息是否有异常(可以根据显示的信息判断是哪种攻击方式)

配置获取 *

写ssh密钥

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

回弹壳

weblogic部署项目后动态生成文件路径_查看weblogic日志_weblogic日志文件路径

写入文件路径

检查关键信息是否有攻击团队特征信息

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

如果发现攻击团队在操作redis,可以使用monitor命令检测

修复建议:

针对非授权漏洞,增加密码认证

冰蝎和记忆马攻击

weblogic日志文件路径_查看weblogic日志_weblogic部署项目后动态生成文件路径

特点:后缀为动态脚本(jsp、asp、php)请求体加密状态

记忆马攻击的特点:通常没有登陆文件开头(直接使用某个文件夹作为路径)

weblogic部署项目后动态生成文件路径_weblogic日志文件路径_查看weblogic日志

应急思维

对于webshel​​l,可以直接在web路径中搜索动态脚本文件,也可以直接在文件中搜索特征值

weblogic部署项目后动态生成文件路径_weblogic日志文件路径_查看weblogic日志

find / -name *.jsp | xargs grep "pass" 

(pass是一个特征值,可以修改,如果返回内容过多,可以自己修改特征)

weblogic日志文件路径_weblogic部署项目后动态生成文件路径_查看weblogic日志

对于内存马weblogic日志文件路径,虽然有各种文章分析如何解压,但最简单的方法就是重启解决问题。

如果您想了解如何手动清理,请访问:

修复建议:

1.根据漏洞情况,如果是程序漏洞修复,可以

2.上传漏洞,禁止上传动态脚本文件,使用白名单机制只允许特定后缀上传

Windows 紧急想法

Windows 故障排除

对于已经有后门的机器,可以查看进程

使用pc hunter验证文件签名,发现有未签名的文件(红色),重点分析文件

颜色:

1. 驱动程序检测到的可疑对象、隐藏服务、进程、文件或挂钩函数的进程 > 红色。

2. File maker是微软的>black。

3.文件厂商不是微软的 > blue。

4. 验证所有数字签名后,对于没有签名或签名已过期或被撤销的模块, > 玫瑰红色。

5、查看链接模块时,微软进程链接其他公司模块 > 黄褐色。

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

定位文件,提取样本进行分析

weblogic部署项目后动态生成文件路径_weblogic日志文件路径_查看weblogic日志

直接上传样本到微博在线、奇安信威胁平台等进行沙箱分析

微博在线:

齐安心:

360:

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

如果找不到文件,可以查看网络连接,对可疑的外网IP进行威胁情报查询

weblogic日志文件路径_weblogic部署项目后动态生成文件路径_查看weblogic日志

查看weblogic日志_weblogic日志文件路径_weblogic部署项目后动态生成文件路径

在pchunter中定位可疑进程,如果不能上传工具,也可以手动定位

命令:任务列表 | findstr pid(网络连接最后一行的数字)

weblogic日志文件路径_查看weblogic日志_weblogic部署项目后动态生成文件路径

ps:建议直接输入路径

如果还是没有结果,可以分析虚拟机快照中的文件(注意请使用手机热点网络与单位网络隔离)

使用 Tinder Sword 捕捉过程动作

weblogic部署项目后动态生成文件路径_weblogic日志文件路径_查看weblogic日志

可在网络中查看,实时接入IP服务

weblogic部署项目后动态生成文件路径_weblogic日志文件路径_查看weblogic日志

如果病毒迁移到系统中,则封禁IP。 跟进发现主机问题,修补漏洞,重启。

Linux应急思考

对于攻击者来说,无论他如何隐藏,他总是需要流量。 我们主要分析流量。

netstat -anlpt 查看是否有恶意流量(通过威胁情报判断是否为恶意域名)

weblogic部署项目后动态生成文件路径_查看weblogic日志_weblogic日志文件路径

找到对应的流量连接位置

ls -al /proc/PID(根据查到的进程pid输入)

比如ls -al /proc/791

exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接

详细分析:

https://www.cnblogs.com/liushui-sky/p/9354536.html

找到样本文件上传微步在线分析数据

weblogic日志文件路径_查看weblogic日志_weblogic部署项目后动态生成文件路径

应急措施:

分析攻击手段,首先要确定主机运行的是什么系统,运行的是什么业务。 根据业务判断,可能存在漏洞,调取相应日志取证。 如果上面没有业务,也没有开放高危端口,可以检查是否是弱口令登录,查看登录日志。

最后是登录成功日志

weblogic日志文件路径_weblogic部署项目后动态生成文件路径_查看weblogic日志

lastb是登录失败,可以查看是否爆破

查看weblogic日志_weblogic日志文件路径_weblogic部署项目后动态生成文件路径

也可以通过比较登录用户和文件上传时间来分析

stat 查看日志创建时间

如果怀疑某个文件是木马控制端,可以直接调试该文件查看传输信息

strace -p pid #调试进程

查看weblogic日志_weblogic日志文件路径_weblogic部署项目后动态生成文件路径

Check the history 查看攻击者的执行历史,但可能会被删除

history 或 cat ~/.bash_history 查看历史命令并查找痕迹

查看weblogic日志_weblogic部署项目后动态生成文件路径_weblogic日志文件路径

应急措施:

1.对易受攻击的cms采取相应的修复方案

2、对于不知道攻击来源的登录方式weblogic日志文件路径,可以直接修改密码

查看weblogic日志_weblogic日志文件路径_weblogic部署项目后动态生成文件路径

祝HW好运!

时间线安全团队

安全路上,与你并肩同行