概述

2021年1月6日下午的16点左右,照例◆下班前把安全设备都看了一遍,一刷新系统蹦出几条某某大学让想一想就觉得毛骨悚然下的大量二级域名网站被篡改的告警,随后经过人工验证所有告︼警的二级网址均存在被篡改⌒页面,并随即报告给平日性格如何了值班客户,随后应客户要求兴(hao)高(bu)采(qing)烈(yuan)地到了现场√做应急处置,至于为什么称之为诡异请看下述分析。

事件分析

到达现场后,随之跟网络◢相关负责人沟通,得知被篡改的所有二级域名网站都是部署在同一台服务器上的,服务器·神之哀伤·分前台服务器和后台服务器,并且服务器出到互联网的话得经过两台waf防火墙,且ξ内网部署有深X服EDR和明X态势感知,网站都已部署防篡改安全防护做的很充足,需要部署的点几乎都上了设备,经询问网络相关负责人得知安全设备并无任何告警,之前也有用EDR查杀过病毒但也无任何异常,这就比较诡异了。

经过勘察,站群架设Ψ在IIS中间件服务器上,同时运行着18个网站,直呼↘好家伙。

页面发生了篡改说明攻击者已经拿到了服务器一微微有些驼背定的权限那么很有可能会留存有webshell后门文件,因为网「站文件过多,老规矩一上来就先利用D盾对这18个却要看个人网站的目录进行后门文件的查杀,在查杀的同时也可以利用这个时间去找找其他可疑的点,过了许久查杀出了在某个二级学院网站目录下的zhengjlIAA目录共有12.ashx、12.aspx、2012.aspx、ijvsx9.asp四个后门文件,其他站群并无疑似webshell的文件。

查看后门创建时间,均为2017年12月21日,后门创建时间久远,但发生篡∞改是在1月6号,这不科学啊难道不是同一批入侵者?难道入侵者篡改了页面把后门给清理了?还是说这几个后门文件好被入侵者有意的修改了日期呢?小小的脑袋大』大滴疑问。

进一步的分析,并未发现网站根目录下发生篡改告警时生※成的后缀目录或者文件,所以说被篡改的不是网站内原有的文件或生成新的页面文件,而且网站而今天是他作为保镖上都部署了防篡改系统,经过验卐证在根目录创建文件并不成功防篡改生效这就很诡异,很像是网站的全局动态文件劫铁补天还未坐稳持的手法。

定位问题

果不其然在进一步的排查IIS当中,在IIS的引用模块处发现两条㊣ 可疑的dll文件分别为iisW3d.dll、iisW3x.dll。

定位根据文件的路径缓缓再前进了三丈定位到所在的C盘Windows\System32\inetsrv目录下,发现这两个dll并无任何信息任△何的数字签名,dll的修改的我只是这个家族时间为1月5号23:33分也就是发生篡改的前一天,将两个dll文件下载至本〓地并利用奇安信天擎查杀显示为木马文件。

网络日志排查

综ζ 合上述分析已知4个后门文件都在IAA目录下,通过【这一信息对IIS的ezequen网络日志从1号至6号进行搜索关键词IAA,仅在5号有IAA目录的访问日志∴,在5号14:57分开始先梦云峰之主是GET访问12.ashx后门文件,这应该是入侵者验证确认该后门是否还存在,随后确定了后门还存▓在后在进行POST的数据传输行为。

总结

通过以上分析,网页防篡改功能确实已经开启了但防护的仅仅只是WEB目录,经过验证后※门是可以实现通过WEB跨目录到C盘下的操作的,入侵者也是利用第一步了这点植入恶意的dll文件劫持IIS达到了▅篡改网站的目的,这点也说得通■了为什么部署了网站防篡(感谢给本书投红票票改后网页还是一样会遭受到篡改的原因。

因为后门文件存在过于久远无法从现有的相关日志去进行溯源后门是①如何被上传的,也从网络安全的管理人员的口中得知网站之前做过一次ω 迁移估计是迁移前就存在了后门文件,随后删除了两个恶意dll文件重启IIS网站就得以从丹田中九劫剑恢复。

整改建议:

1、网站上存留久远后门文件,建议每周对网站整◎个目录进行webshell后门查杀。

2、网站防篡改虽然生效,但在验证后门文件时可以通过后门文件进︾行跨目录操作,跨目录修改文件,建议对目录进行〗访问限制,根据实际情现装了摄像头打开况配置防篡改所保护的目录不单单只保护网站目录。

3、服务器上存有恶意文件EDR却无告警,建议核查服务器上是否已安经验装EDR客户端,若安装了客户端是否在开启的状态。

4、1月5号时有连接后门传输数据等高█危操作明X态势■感知并未告警,建议核实态势感知是否能监测到网站服务器的网络访问流量,功能是否生效。

本文作者:夜无名, 转自FreeBuf