黑基网 首页 学院 网络安全 查看内容

某网站服务器安全审计报告

2017-9-16 09:13| 投稿: xiaotiger |来自: 互联网

摘要: 流量关联分析通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。然后再通过抓取服务器数据包进行流量分析抓取了将 ...

流量关联分析

通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。

然后再通过抓取服务器数据包进行流量分析

抓取了将近一个小时的流量数据包为280条,发现并没有发起大规模攻击操作行为。

木马程序分析

之后再进行查看程序./atd。

发现确实存在该运行的程序文件,再找到程序的位置:

查看到有几个目录文件,排查之后发现第一个/var/tmp,从时间和文件大小来看是会存在问题

再对/var/tmp/atd进行导出程序,放入木马分析系统进行检验是否有木马行为

对atd文件进行木马扫描分析得出是比特币木马病毒文件

对trtgsasefd.conf文件进行木马分析未发现问题

对外网IP:23.33.178.8中的clock-applet文件进行木马分析未发现问题

日志记录分析

日志文件只有8月和9月份的

查看/var/log/messages中没有发现该ip入侵记录

发现通过22远程端口成功登录的外网ip:60.191.15.83 101.68.90.115 (有可能是员工正常行为)

查看/var/log/secure中记录不全没有发现异常

查看/var/log/lastlog以及last记录没有发现异常登录记录

入侵来源分析

结合以上分析发现,攻击者在6月7号晚上23点就已经入侵成功,服务器被攻击有可能来自框架系统或插件漏洞引起,因此调用0day脚本测试,检验到漏洞存在,再使用专门的工具复现该st2-045漏洞

再查看服务器Struts版本信息为:2.3.28版本,可被利用。

总结报告描述

网站对外可访问,因存在Struts-045插件漏洞,故而造成服务器被入侵当成挖矿肉鸡。建议可先暂停服务器环境,之后重装系统并对Struts插件进行升级修复操作以及对文件clock-applet进行删除。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6465970869880488462/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部