01 事件背景介绍
某内部应急演练中,安全部门监测到WAF上存在shiro攻击成功告警信息,现需根据流量情况进行安全事件分析。
02 事件分析过程
根据WAF日志,确认发起攻击的IP地址,以该地址为源地址进行搜索,寻找攻击痕迹及路径。从流量包情况分析,存在攻击者使用10.X.X.7扫描器对80.X.X.49进行扫描的攻击流量。
根据响应包判断存在shiro反序列化漏洞探测行为
发现有一个响应包没有rememberMe=deleterMe字段,说明可能爆破出可利用的shiro key,解密rememberMe字段得到key
进一步分析流量发现,存在攻击者使用shiro漏洞写入webshell: /docs/3.jsp行为
存在连接加密webshell: /docs/3.jsp流量,详情如下
据此判断主机80.X.X.49失陷,攻击者已获取Webshell权限,继续观察其他流量,未发现其余明显异常行为。
进一步通过漏洞工具验证存在shiro漏洞问题,且存在3.jsp webshell文件。
03 事件分析结果
攻击者10.X.X.7对80.X.X.49进行漏洞扫描,发现存在shiro漏洞并利用成功,在/root/apache-tomcat-8.5.66/webapps/docs目录下写入冰蝎webshell 3.jsp。
04 安全加固建议
1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.7。
2、 针对本次失陷主机80.X.X.49,进行网络隔离,排查入侵痕迹和内网横向情况,修复shiro漏洞,清理webshell木马。
