远程命令执行引起的紧急响应转载请联系Bypass公众号。当发现入侵事件时,根据入侵现象进行排查,结合日志进行关联分析,对未知情况进行合理猜测,还原攻击场景,找到漏洞根源是非常重要的。01.事件起因是入侵检测中的安全警告,发现是内网服务器的java进程发现异常执行行为,存在Dnslog检测和Bash反弹行为。02.事件分析(1)排查异常端口通过查看端口情况,发现shell反弹到网络连接中的外网ip,有明显入侵迹象。(2)排查异常进程查看进程情况,在进程信息中发现reboundshell命令的特征,base64解码后的通信ip与上述发现一致。执行shellrebound的父进程的bit60753是java进程。(3)queryhistory命令在历史记录中发现异常操作行为,攻击者查看了当前服务器ip、当前用户权限、用户在线状态等操作。(4)Web日志分析java进程对应web应用程序。根据命令执行异常的时间节点,分析相关web日志,确认入侵时间范围内是否存在可疑行为。没有发现异常的网页访问行为,只有访问网站首页的记录,那么它是如何入侵的呢?合理猜测:结合之前发现的Java进程进行dnslog检测等行为,推测框架组件可能存在远程命令执行漏洞。(5)Web框架组件在Web框架组件中,发现了一个低版本的shiro组件,存在明显的远程命令执行漏洞。Framework/ComponentVersionspring4.3.5RELEASEshiro1.4.0-RC2(6)漏洞复现通过Shiro远程命令执行漏洞成功获取服务器权限,有dnslog检测和命令执行,与迹象一致入侵。03.事件总结通过以上分析可以判断攻击者是通过shiro远程命令执行漏洞进行入侵,并在反向shell中进行了一些操作。需要将shiro升级到最新版本并生成新的密钥替换。
