搜索
查看: 13517|回复: 0

webshell事件处置之徐老师徒手抓小黑客

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-6-15 11:27:17 | 显示全部楼层 |阅读模式
客户名称:某高校
事件类型:服务器入侵事件
问题主机情况描述:服务器被上传webshell,建立隐藏用户,克隆账号,网站源代码被删除。
事件处理过程:

0x01 应急响应
某天,接到一线反馈,客户的服务器被黑,网站源代码被删,我马不停蹄,登录被黑的服务器,进行排查。
首先了解到服务器如下的情况:
服务器主要用途:学校官方网站
操作系统:Windows Server 2003
Web服务器:IIS 6.0
数据库: sql Server 2005
防护设备:360安全卫士
被黑后的现象:服务器被上传webshell,数据库被脱库,网站被挂黑链,同时部分源代码被删。
好了,既然服务器被黑,网站中必定是存在后门的,那么首先祭出我们的webshell查杀神器(问我使用了什么神器,偷偷的告诉你:“D盾”,不知道请请自行脑补:http://www.d99net.net/News.asp?id=62
170405witlk6sf6nhhk66w.jpg

170418c3co4jhd2au21fdl.jpg

查看服务器中的用户,发现攻击者创建的隐藏账号,账号创建的时间也是3月18日。
170426ycqprr33j3pw3vvy.jpg

170434sfrtfs2fmv9rophv.jpg

再祭出第二款神器360杀毒,来个全盘查杀,果然发现了攻击者上传的端口转发工具lcx.exe和溢出工具pr.exe。
170446p6h5g7y27z01zdpm.jpg

170452ls4eqsaar0affr61.jpg

查看防火墙的WAF日志,发现WAF仅对222.asp、hs666.asp进行了拦截,并未对T_00\.asp进行拦截。
170459h7h30nwnqzpxtpq0.jpg

对IIS日志进行排查,根据文件修改时间27日的01:23分和01:31分,先对对访问h1.php后门的ip进行查找,这里用notepad++进行高级搜索。
170515s6qbdvdwfaiaz6ei.jpg

发现访问过h1.php这个webshell的ip地址为113.139.120.102和113.139.121.233。
170521gj5ufm6hs29hfmfq.jpg

微步查询下,查询发现这两个恶意ip地址来自陕西西安。
170530pff1sjzhqssqf6gy.jpg

170537q2g9ookb541gsbk9.jpg

是不是管理员账号密码泄露导致的?在后台登录不成功的情况下,服务器返回200,那么返回302的应该是登录后台成功的,在web日志中搜索返回302的ip地址,发现早在2月份就有恶意的ip如:211.97.129.145、182.101.58.6等地址确实登录过网站后台,证明管理员账号密码已经泄露。
170547ir44gsyqxtyyqzmw.jpg

170552f8209jdglfos1fjg.jpg

170557r4a4hrh1x2h1fl2w.jpg

微步查询下这两个ip地址 211.97.129.145、182.101.58.6发现微步收入这两个ip地址为僵尸网络和垃圾邮件。
170615tdsjbdbyngrw11pm.jpg

170623av3gs07d3sdc22sv.jpg

211.97.129.145、182.101.58.6这两个IP地址一个来自福建,一个来自江西,显然不是跟陕西的攻击者是一伙的。
现在可以判断有一伙攻击者利用管理员账号密码登录后台之后进行各种恶意操作,看下网站,默认安装页面没有删掉,CMS的类型为SiteServer 3.4.1在乌云漏洞平台中,该CMS安全问题较多,进入后台之后,权限很大,可以执行的操作很多。
170634bs47ghu3x9tgtps8.jpg

170641rngdrkrn9trdtktg.jpg

170646y7x83498cm5395yy.jpg

查看西安的攻击者113.139.120.102的访问日志,发现攻击者首先访问了网站后台登录页面,服务器返回200,由此可以看出攻击者并未登录后台,之后通过POST操作访问/siteserver/cms/background_templateAdd.aspx页面,之后攻击者写入T_00\.asp这个后门文件,服务器返回200,webshell已经生成,大概可以判断陕西的攻击者越权利用模板直接写入了webshell后门。
170713wck41apxukr0msr5.jpg

服务器版本较老,安全问题较多,同时网站版本也较老,漏洞较多,存在多个不同的攻击者,利用不同的手法控制网站,先对发现的较为明显的问题进行处理,并进行观察。

0x02 攻击复现
果然不久之后,客户再次反馈网站再次被上传webshell,并绕过WAF对网站进行了篡改。查看IIS日志和WAF日志,发现有陕西的攻击者同样利用background_templateAdd.aspx页面进行webshell上传。
171330kowl88wqw8pllwwo.jpg

171337budplqdemah936tc.jpg

好了,现在确定攻击者应该是利用background_templateAdd.aspx页面上传的后门,用fiddler抓取访问siteserver/cms/background_templateAdd.aspx?PublishmentSystemID=1的数据包。查看响应头,发现响应头为302,将其重定向到登录失败页面。
171409e0p8cq077bna9b7c.jpg

接着看下返回的页面信息,果然返回了background_templateAdd.aspx模板页面。
171416npccx31vhxk8cw3w.jpg

正常页面返回302,黑阔的返回页面为200,那么直接将返回页面修改为200,发现被重定向到initialization.aspx页面,之后重定向到登录页面,依旧无法控制模板写入后门。
171437g7gvgvvn8nm8m4zo.jpg

171445rpkgltul2tp0s0e9.jpg

继续查看返回的background_templateAdd.aspx页面,发现结尾处有这么一段js代码。
171519bn44yn8b4j1bnpp1.jpg

<script type=”text/javascript”>
if (window.top.location.href.toLowerCase().indexOf(“main.aspx”) == -1){
var initializationUrl = window.top.location.href.toLowerCase().substring(0, window.top.location.href.toLowerCase().indexOf(“/siteserver/”)) + “/siteserver/initialization.aspx”;
window.top.location.href = initializationUrl;
}
</script>
如果最外层页面没有匹配到加载mian.aspx,则跳转到initialization.aspx,只要跳过该if判断使得window.top.location.href.toLowerCase().indexOf(“main.aspx”)!= -1,就可以绕过前端验证,进行后台模板操作。
171526cv7t2u41txsa49if.jpg

好了,接着写入黑阔使用的一句话,重复抓包,并用过狗菜刀连接之,成功连接webshell。
173244n1vy8gm118nn155t.jpg

171533p0gkrueggnp00enu.jpg


0x03 攻击溯源
在提取日志的过程中,发现有个名为黑客浩神的留下了装13的txt文件。
171635fqhh62yag6gq6oqa.jpg

攻击者的网名为黑客浩神QQ:24*******5,卧槽,太嚣张了,针对此QQ号,进行一波社工,百度一下,发现浩神所到之处,果然寸草不生。
171644nyi6xf8qjy44mgt2.jpg

顺藤摸瓜,找到攻击者的博客https://www.haohacker.com
根据域名对黑客浩神的信息进行查询,发现注册姓名为liang *hao(梁*浩),邮箱为24******5@qq.com,联系电话为186****8568、155****1651,地址陕西省西安市长安区。
171936fo00pz2w5nppizl4.jpg


171945v94y699ytn77amt9.jpg

反查该邮箱号,发现其注册过2个域名:haohacker.com和haos666.com。
171952i8n000pnhob7sknj.jpg
查看****学院百度贴吧:http://tieba.baidu.com/p/5042730197发现浩神在贴吧里炫耀其攻击技术,还脱取了学校最新的数据库。
171959vmddhce018e05ar0.jpg

172006ybak6e2z61461214.jpg

查看浩神的百度贴吧
http://tieba.baidu.com/home/main?un=%E6%B5%A9%E6%B5%A9%E5%B8%A6%E4%BD%A0%E9%A3%9E%E4%B8%A8&ie=utf-8&fr=pb&ie=utf-8发现浩神关注的贴吧有*****学院和延津职高。
172115fjyqh3jb79zjjjc3.jpg

浩神的故乡为河南,延津职高也位于河南,延津职高可能为曾经就读过的学校。
172121mbxjjib1iibbjo4c.jpg

查了下浩神的QQ,好牛B啊,黑客团队白昼安全小组创始人,王者团队成员,QQ上标注故乡为河南商丘永城市,证明浩神确实应该是河南人。
172132uwln79bhcioyf0wk.jpg

看看浩神的技术团队:https://www.haohacker.com/team/
172138mzo89goo8asaucn8.jpg

还是王者团队成员http://www.wz-sec.cn/
172157xvjcbodpvrevcvb7.jpg

浩神的新浪微博:http://weibo.com/u/5712617284,看来此人目前确实是在陕西西安,1998年小朋友,果然“年轻有为”啊。
172204tk8r0vcjr8dh1jk8.jpg

谷歌搜索浩神技术团队,就先看下第一条吧,ngte.nske.ru/index.html的网站快照,牛X啊,做黑产的。
172212vd0dyq72o12mz0o2.jpg


搜索梁*浩和浩神的域名,发现以前的快照页面依旧存在,梁*浩LOVE马*婷,马**是你喜欢的妹子?不过目前基本可以确定浩神的真名为梁*浩。
172314sgz0j411104eb04g.jpg

172321hxl46naj4tooqow4.jpg

再来看一张支付宝的
172328bz9fimlremrdraze.jpg

好了,先这样吧,整理下收集到的浩神的信息:
姓名:梁*浩
出生时间:1998年-199*年
手机1:186****8568
手机2:155****1651
支付宝账号:24*******5@qq.com,159****0398
百度账号:浩浩带你飞丨
注册域名:www.haohacker.com
注册域名:www.haos666.com
现居地:中国陕西省西安市长安区
故乡:中国河南商丘永城市
可能就读的学校:延津职高
喜欢的妹子:马**
白昼团队交流群 :141036908
可能相关的网站:http://haohacker.8008cn.biz
可能相关的QQ:46******5


过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表