某网站服务器安全审计报告
导读:本文共1016字符,通常情况下阅读需要3分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:流量关联分析通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。然后再通过抓取服务器数据包进行流量分析抓取了将近一个小时的流量数据包为280条,发现并没有发起大规模攻击操作行为。木马程序分析之后再进行查看程序./atd。发现确实存在该运行的程序文件,再找... ...
目录
(为您整理了一些要点),点击可以直达。流量关联分析
通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。
然后再通过抓取服务器数据包进行流量分析
抓取了将近一个小时的流量数据包为280条,发现并没有发起大规模攻击操作行为。
木马程序分析
之后再进行查看程序./atd。
发现确实存在该运行的程序文件,再找到程序的位置:
查看到有几个目录文件,排查之后发现第一个/var/tmp,从时间和文件大小来看是会存在问题
再对/var/tmp/atd进行导出程序,放入木马分析系统进行检验是否有木马行为
对atd文件进行木马扫描分析得出是比特币木马病毒文件
对trtgsasefd.conf文件进行木马分析未发现问题
对外网IP:23.33.178.8中的clock-applet文件进行木马分析未发现问题
日志记录分析
日志文件只有8月和9月份的
查看/var/log/messages中没有发现该ip入侵记录
发现通过22远程端口成功登录的外网ip:60.191.15.83 101.68.90.115 (有可能是员工正常行为)
查看/var/log/secure中记录不全没有发现异常
查看/var/log/lastlog以及last记录没有发现异常登录记录
入侵来源分析
结合以上分析发现,攻击者在6月7号晚上23点就已经入侵成功,服务器被攻击有可能来自框架系统或插件漏洞引起,因此调用0day脚本测试,检验到漏洞存在,再使用专门的工具复现该st2-045漏洞
再查看服务器Struts版本信息为:2.3.28版本,可被利用。
总结报告描述
网站对外可访问,因存在Struts-045插件漏洞,故而造成服务器被入侵当成挖矿肉鸡。建议可先暂停服务器环境,之后重装系统并对Struts插件进行升级修复操作以及对文件clock-applet进行删除。
某网站服务器安全审计报告的详细内容,希望对您有所帮助,信息来源于网络。