信息安全应急响应系列之网站入侵分析

北京数字证书认证中心2007年10月1信息安全应急响应系列之网站入侵分析陈青民2010年4月北京数字证书认证中心2010年4月2内容回顾1.安全应急响应背景介绍2.网站被入侵事件的发现3.入侵手段分析及源地址追踪4.收尾及报告撰写5.典型案例分析北京数字证书认证中心2010年4月3第一节：安全应急响应背景介绍北京数字证书认证中心2010年4月4什么是应急响应EmergencyResponse/IncidentResponse:安全人员在遇到突发事件后所采取的措施和行动。突发事件：影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。这里的“情况”包括常见的黑客入侵、信息窃取等，也包括拒绝服务攻击、网络流量异常等。应急响应服务的目的是最快速度恢复系统，阻止和减小安全事件带来的影响，在确保恢复的工作中，应急处理人员需要保存各种必要的证据，以方便日后追究责任。北京数字证书认证中心2010年4月5应急响应的发展背景1988年11月发生的莫里斯蠕虫病毒事件（MorrisWormIncident）致使当时的互联网络超过10%的系统不能工作。基于该事件以及对安全应急响应认识的深入，卡内基梅隆大学的软件工程学院（SEI）向美国国防部高级研究项目处申请了资金，成立了计算机应急响应协调中心（CERT/CC），协调处理整个互联网的信息安全应急响应。北京数字证书认证中心2010年4月6应急响应组织美国中国清华台湾省欧洲新加坡印尼瑞士澳大利亚德国日本马来西亚韩国墨西哥菲律宾北京数字证书认证中心2010年4月7主要应急响应组织及关系北京数字证书认证中心2010年4月8应急响应的一般步骤事件清除恢复业务事件总结手段分析攻击者分析宏观分析发现定位和分析恢复举报、主动搜索、发现恶意代码北京数字证书认证中心2010年4月9应急响应的形式远程应急响应服务本地应急响应服务北京数字证书认证中心2010年4月10远程应急响应客户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。北京数字证书认证中心2010年4月11本地应急响应服务应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。北京数字证书认证中心2010年4月12应急响应的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品突发性强需要广泛的协调与合作北京数字证书认证中心2010年4月13第二节：网站被入侵事件的发现北京数字证书认证中心2010年4月14网站入侵安全事件发现用户报告系统管理员检测IDS报警（实时监控系统）其它方式北京数字证书认证中心2010年4月15入侵信息核实被入侵站点网址当前时间和日期事件报告人事件特性事发时间相关硬件和软件相关人员联系方法北京数字证书认证中心2010年4月16被入侵网站的现象页面篡改异常服务非法账号页面挂马北京数字证书认证中心2010年4月17第三节：入侵手段分析及源地址追踪北京数字证书认证中心2010年4月18技术装备的准备高端笔记本、大容量硬盘、接口转换器、各类线缆、数码相机软件文档硬件系统检查工具、硬盘镜像工具、网络监听工具工具使用手册、应急响应流程文档、应急响应记录文档北京数字证书认证中心2010年4月19数据收集查看账户信息查看系统日志查看注册表（Windows）查看网络连接状况查看账户登录状况搜索近期修改文件查看网站日志检查数据库修改情况北京数字证书认证中心2010年4月20Windows下常用响应工具工具主要功能Wsyscheck.exe可查看进程、内核、服务等Sysinternals系列该工具包含有大量用于Windows检查的工具Netset列出所有监听端口及这些端口的所有连接者IceSword列出所有正在运行的进程及其命令参数和各自运行所需的DLLWebshell扫描器可以检查服务器指定目录中可能存在的Webshell文件北京数字证书认证中心2010年4月21网站恶意木马扫描器(WebshellScanner)北京数字证书认证中心2010年4月22Linux下常用的响应工具工具主要功能ps可查看系统当前运行的进程Locate/find用于查找指定名称的文件Netstat列出所有监听端口及这些端口的所有连接者Grep/awk列出所有包含指定字符串的文件，可以用于查找可以的后门以及Webshell文件strace开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为，并且来决定是否是合适的程序。北京数字证书认证中心2010年4月23Grep命令的使用查找一句话木马（?phpeval($_post[cmd]);?）假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件：方法1：$grep-i–reval\(\$_post/app/website/*其中-i表示不区分大小写，-r表示搜索指定目录及其子目录方法2:$find/app/website/-typef|xargsgrepeval\(\$_postxargs将find搜索出的文件名称变成grep后面需要的参数北京数字证书认证中心2010年4月24strace命令的使用作用：跟踪程序执行时的系统调用和所接收的信号，通常的用法是strace执行一直到command结束。示例：用strace来调试apache的执行过程，比如apache的PID为3334，命令如下：#strace-p3334-etrace=open,readapache在打开AllowOverrideAll时straceapache的进程会发现有很多open操作，apache需要遍历web目录下所有的目录查找.htaccess文件，当设置为none时open操作明显减少，可以结合压力测试看到效果。北京数字证书认证中心2010年4月25数据分析针对收集到的账户信息、文件修改情况、系统日志、网站日志等进行综合分析和归纳，确认是否存在以下情况：系统含有非法账号系统中含有异常服务程序系统部分文件被篡改，或发现有新的文件系统安全日志中有非正常登陆情况网站日志中有非授权地址访问管理页面记录北京数字证书认证中心2010年4月26数据分析通过异常文件的创建和修改时间，一般可以判断攻击者对网站进行入侵的时间段；对异常服务或进程的追踪，可以查找恶意文件，确认攻击后的后门，以及攻击时间；网站目录下的异常文件，对判断攻击手段具有参考意义；网站访问日志可以对攻击手段、时间和攻击源地址的追踪提供有力的证据。系统安全日志中的登录信息同样可以用于判断攻击者来源。北京数字证书认证中心2010年4月27第四节：收尾及报告撰写北京数字证书认证中心2010年4月28收尾工作拷贝系统日志、网站访问日志、异常文件以及截图文件；在得到客户许可的情况下，删除恶意程序、服务；如有必要，对确认已删除非法文件的网站程序文件和数据库进行备份；恢复网站业务正常运行；锁定网站服务器。北京数字证书认证中心2010年4月29报告的撰写严格按照《BJCA安全服务记录单》的模板进行应急响应报告的撰写；报告中需客观描述客户的问题以及对我方的需求；描述分析过程，确保结论有据可查，配以截图等形式来展示；提出有效的安全建议；将报告提交给项目经理，项目经理有义务对报告进行审核，避免泄密或错别字等现象出现。北京数字证书认证中心2010年4月30第五节：典型案例介绍北京数字证书认证中心2010年4月31案例一：北京市XX局网站服务器被控制问题：1.北京市XX局工作人员被报告其服务器在对网络中的其他主机进行ARP攻击。登录到该服务器上，发现一个新的管理员用户，怀疑该服务器已经被恶意攻击者所控制。2.客户要求我公司工程师查找服务器出现问题的原因，并找出黑客是如何攻击、并获取该服务器权限的，从而避免以后出现同样的问题。北京数字证书认证中心2010年4月32分析过程1.查看服务器进程信息，有许多xiao$的进程存在；2.检查系统用户，发现异常账号xiao$北京数字证书认证中心2010年4月33分析过程（续）3.查看服务器文件修改情况，发现许多黑客工具北京数字证书认证中心2010年4月34分析过程（续）4.查看中间件配置文件5.检查中间件的upload文件北京数字证书认证中心2010年4月35分析过程（续）6.分析WebLogic日志，发现来自湖北省孝感市电信用户IP：58.51.146.5访问WebLogic控制台，并创建新的项目北京数字证书认证中心2010年4月36结论恶意攻击者（源IP地址为：58.51.146.5）利用WebLogic控制台默认管理员用户名和密码，增加了新的项目，生成了WebShell；通过WebShell添加了新的管理员账号，进而获取服务器的控制权限；恶意攻击者在登陆操作系统后，对服务器所在局域网进行了嗅探和ARP攻击，以及网络扫描攻击。北京数字证书认证中心2010年4月37案例二：北京市XX委网站页面被挂马问题：1.北京市XX委工作人员被报告其服务器页面存在被挂马的现象，访问指定页面时，被防病毒软件报警提示。2.客户要求我公司工程师查被挂马问题的原因，并找出黑客是通过哪种漏洞实施的攻击，从而避免以后出现同样的问题。北京数字证书认证中心2010年4月38分析过程挂马页面分析：找出访问时被挂马页面中，网马的地址：北京数字证书认证中心2010年4月39分析过程（续）对服务器网站目录中的这两个页面的源程序进行了检查，但在这两页面的源程序中未发现被篡改的情况出现，因此我们推测应为数据库挂马，即将网马的地址插入到数据库中，当访问动态页面并调用数据时将网马显示在访问的页面中。北京数字证书认证中心2010年4月40分析过程（续）检查被挂马页面内容所在的数据库表内容，发现该表中所有内容都被写入了网马地址北京数字证书认证中心2010年4月41分析过程（续）IIS访问日志中，发现从11月28号到12月1号有大量针对该站点的注入攻击现象，源IP地址为：219.238.148.6。北京数字证书认证中心2010年4月42分析过程（续）通过对注入攻击的16进制的内容进行还原，内容为：dEcLaRe@tvArChAr(255),@cvArChAr(255)dEcLaRetAbLe_cursoRcUrSoRFoRsElEcTa.nAmE,b.nAmEFrOmsYsObJeCtSa,sYsCoLuMnSbwHeRea.iD=b.iDA