一次远程命令执行引发的应急响应

安全 应用安全
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。

 [[388005]]

本文转载自微信公众号「 Bypass」,作者Bypass。转载本文请联系Bypass公众号。    

在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。

01、事件起因

入侵检测出现安全预警,发现内网服务器的java进程发现异常执行行为,存在Dnslog探测和Bash反弹的行为。

02、事件分析

(1)排查异常端口

通过查看端口情况,在网络连接中发现shell反弹到外网ip,存在明显的入侵的迹象。

(2)排查异常进程

查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。

(3)查询历史命令

在history里发现了异常操作行为,攻击者查看了当前服务器ip,当前用户权限,用户在线情况等操作。

(4)web日志分析

java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。

未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢?

合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。

(5)web框架组件

在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。

框架/组件 版本
spring 4.3.5 RELEASE
shiro 1.4.0-RC2
 

(6)漏洞复现

通过Shiro远程命令执行漏洞成功获取到了服务器权限,存在dnslog探测和命令执行情况,与发现入侵时的迹象一致。

03、事件总结

通过以上的分析,可以判断出攻击者通过shiro 远程命令执行漏洞入侵,并在反弹shell执行了一些操作,需要升级shiro至最新版本并生成新的密钥替换。

 

责任编辑:武晓燕 来源: Bypass
相关推荐

2022-09-14 12:01:35

服务器入侵篡改,

2019-08-01 15:05:22

2021-11-01 17:29:02

Windows系统Fork

2017-08-24 17:37:18

DNS缓存分析

2018-12-27 09:09:35

2019-11-04 10:37:53

MongoDB宕机日志

2023-07-13 09:12:37

CNCF项目云原生

2023-07-07 06:53:56

远程软件日志向日葵

2021-11-22 08:33:27

微信聊天离婚

2022-11-29 21:26:26

跨域配置

2020-01-06 09:43:14

赔偿TSB迁移

2018-07-16 22:29:29

代码迭代质量

2019-01-16 09:20:42

架构设计JVM FullGC宕机事故

2014-08-06 11:24:24

Elasticsear劫持挂马

2017-10-18 09:06:41

2016-12-06 09:34:33

线程框架经历

2022-12-17 19:49:37

GCJVM故障

2022-06-14 08:00:28

切换包管理器版本

2015-07-17 10:05:03

面试思考

2017-09-01 09:17:51

DNS缓存惨案
点赞
收藏

51CTO技术栈公众号