1、概述
近日,我接到通知,某网站LOGO被恶意篡改,造成了恶劣的影响,随后我通过对服务器中间件、日志等排查,发现网站具有S2-045、S2-046高危漏洞,并且被上传木马、挖矿等恶意程序,具体事件分析如下。
2、事件分析
1、在拿到被篡改主机的VMware镜像文件后,首先查看被篡改LOGO图片日期,发现被篡改日期是2018年1月30日20:47。
2、使用PCHunter查看系统进程,发现有可疑进程。
3、其中servicas.exe 是门罗币挖矿进程,占用了大量的CPU资源。
4、定位到其中一个进程文件发现目录下有大量可疑文件。
5、使用ProcessMonitor分析其中一个可疑文件的操作过程,发现自动生成与感染多个文件。
6、并且创建了随机名称的VBS脚本运行与对注册表进行了恶意修改。
7、查看服务器连接,发现服务器有可疑对外链接,怀疑是木马后门。
8、继续分析,在TOMCAT网站的目录下发现了大量可疑JSP文件。
9、查看可疑的文件,是JSP一句话木马文件,根据创建修改时间可以看出本服务器在2017年3月就开始被上传木马。
10、随后,使用Struts2测试工具检测出网站有高危的S2-045漏洞,并且服务器被上传木马时间刚好是S2-045漏洞爆发的时间。
11、查看日志发现有大量特殊登陆,并且在网站被篡改前的2018年1月30日20:22:55有一个特殊登陆。
3、结论
根据以上分析结果得出:此服务器已经在2017年3月以后被不法分子通过Struts2 S2-045高危漏洞多次入侵、并且被上传木马病毒、挖矿病毒等。
门户网站是用户的对外窗口,也是形象的重要组成部分,承载着业务公布、资源信息化、线上线下交互等等一系列重要功能。因此,维护门户网站的安全运行,事关重要。因此我建议:
1、及时修补中间件的漏洞;
2、定期对服务器进行病毒查杀和漏洞修补;
3、为保证服务器帐号安全、账户需满足密码复杂度要求;
4、建议用户做好日志保障工作,用以日后审计和追溯。
5、建议部署WAF、网站防篡改、IDS或IPS等安全设备,用以检测与防御其他类似的攻击与漏洞。