本文转载自微信公众号「 Bypass」,作者Bypass。转载本文请联系Bypass公众号。
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。
入侵检测出现安全预警,发现内网服务器的java进程发现异常执行行为,存在Dnslog探测和Bash反弹的行为。
通过查看端口情况,在网络连接中发现shell反弹到外网ip,存在明显的入侵的迹象。
查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。
在history里发现了异常操作行为,攻击者查看了当前服务器ip,当前用户权限,用户在线情况等操作。
java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。
未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢?
合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。
在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。
框架/组件 | 版本 |
---|---|
spring | 4.3.5 RELEASE |
shiro | 1.4.0-RC2 |
通过Shiro远程命令执行漏洞成功获取到了服务器权限,存在dnslog探测和命令执行情况,与发现入侵时的迹象一致。
通过以上的分析,可以判断出攻击者通过shiro 远程命令执行漏洞入侵,并在反弹shell执行了一些操作,需要升级shiro至最新版本并生成新的密钥替换。
在智能的数字化时代,人们正在力求通过数字孪生技术在网络空间中构建一个与物理...
1.我赌上了一辈子的幸福,却发现原来你一直都希望我输。 2.我也曾默念一个人的...
1.原来,一个人真的会变成自己曾经最反感的样子。 2.是你让我知道,想要保护那些...
根据Financial Express最新消息,印度财政部长Anurag Singh Thakur表示,由于任...
3月29日,印度移动支付服务商MobiKwik 8.2TB 数据在暗网出售,泄露的数据涉及350...
数据表明,到2021年,三分之一的尼日利亚人会持有或使用加密资产。该分析表明,...
央行又成立一家科技子公司 1月27日,中国人民银行旗下成方金融信息技术服务有限...
在无数个向厂商提交漏洞的日子里, 以下的场景你是否似曾相识? 被厂商白嫖:这根...
1.爱上你就想爱上了一盆仙人掌,随时都有可能被它刺伤。 2.世界上最痛苦的事就...
2021年在哪个方向投资,又应该把资金放在哪里?以及如何花时间并在不工作时仍然能...