[[388005]]

本文轉(zhuǎn)載自微信公眾號「 Bypass」，作者Bypass。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。    

在發(fā)現(xiàn)入侵事件時，基于入侵現(xiàn)象進行排查，結(jié)合日志進行關(guān)聯(lián)分析，對未知情況作合理的猜測，還原攻擊場景，找到漏洞根源，這是很重要的任務(wù)。

01、事件起因

入侵檢測出現(xiàn)安全預(yù)警，發(fā)現(xiàn)內(nèi)網(wǎng)服務(wù)器的java進程發(fā)現(xiàn)異常執(zhí)行行為，存在Dnslog探測和Bash反彈的行為。

02、事件分析

(1)排查異常端口

通過查看端口情況，在網(wǎng)絡(luò)連接中發(fā)現(xiàn)shell反彈到外網(wǎng)ip，存在明顯的入侵的跡象。

(2)排查異常進程

查看進程情況，在進程信息中找到了反彈shell命令的特征，base64解碼后的通訊ip，與上面發(fā)現(xiàn)的一致。執(zhí)行shell反彈的父進程位60753，該進程為java進程。

(3)查詢歷史命令

在history里發(fā)現(xiàn)了異常操作行為，攻擊者查看了當前服務(wù)器ip，當前用戶權(quán)限，用戶在線情況等操作。

(4)web日志分析

java進程所對應(yīng)的是web應(yīng)用程序，基于異常命令執(zhí)行的時間節(jié)點，對相關(guān)web日志進行分析，確認入侵時間范圍內(nèi)是否存在可疑的行為。

未發(fā)現(xiàn)異常的web訪問行為，都只有訪問網(wǎng)站首頁的記錄，那么它到底是如何入侵的呢?

合理的猜測：結(jié)合前面發(fā)現(xiàn)Java進程執(zhí)行dnslog探測等行為，猜測可能存在框架組件存在遠程命令執(zhí)行漏洞。

(5)web框架組件

在web框架組件中，發(fā)現(xiàn)低版本的shiro組件，存在明顯的遠程命令執(zhí)行漏洞。

(6)漏洞復(fù)現(xiàn)

通過Shiro遠程命令執(zhí)行漏洞成功獲取到了服務(wù)器權(quán)限，存在dnslog探測和命令執(zhí)行情況，與發(fā)現(xiàn)入侵時的跡象一致。

03、事件總結(jié)

通過以上的分析，可以判斷出攻擊者通過shiro 遠程命令執(zhí)行漏洞入侵，并在反彈shell執(zhí)行了一些操作，需要升級shiro至最新版本并生成新的密鑰替換。