记编辑器漏洞引发的应急处理
番茄系统家园 · 2022-03-21 05:34:47
本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。
作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。
1. 事件起因
接到云安全中心安全预警,发现后门(Webshell)文件,申请服务器临时管理权限,登录服务器进行排查。
2. 事件分析
(1) 确认Webshell
进入网站目录,找到木马文件路径,确认为Webshell。应急处理:通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。
(2) 定位后门文件上传时间
根据Webshell文件创建时间,2020年3月9日 15:08:34 。
(3) Web访问日志分析
PS:由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,这里我们需要查看的是 7:08的日志时间。
(4) 漏洞复现
A、本地构建一个html
B、上传webshell
C、登录服务器确认文件
(5) 溯源分析
3. 事件处理
- 检查网站上传目录存在的可疑文件,清除Webshell。
- 通过分析复现确认编辑器存在任意文件上传,需及时进行代码修复。
猜你喜欢
最新应用
热门应用
