本文转载自微信公众号《绕路》,作者绕路。转载本文请联系旁路公众号。作为网站管理员,您的对手发现了您没有发现的漏洞,并在您的网站中留下了Webshel??l。这时,对峙开始了??。找出漏洞根源,擒获攻击者,赢得对抗。这个过程本身就很有趣。1.事件原因是收到云安全中心的安全警告,发现后门(Webshel??l)文件,申请了临时服务器管理权限,登录服务器进行排查。2、事件分析(1)确认Webshel??l进入网站目录,找到木马文件所在路径,确认是Webshel??l。应急处理:通过禁止上传目录下动态脚本的运行权限,导致webshel??l无法成功执行。(2)定位后门文件的上传时间以Webshel??l文件创建时间为准,2020年3月9日15:08:34。(3)Web访问日志分析PS:由于IIS日志时间与系统时间相差8小时,而系统时间为15:08,这里需要查看的是7:08的日志时间.找到对应的网页访问日志。在文件创建时间间隔内,我们会注意到这样一个ueditor访问请求。初步怀疑可能与UEditor编辑器漏洞有关。(4)漏洞复现使用UEditor编辑器文件上传漏洞作为关键词进行搜索,很快在网上找到了poc。接下来,让我们尝试重现该漏洞。A、本地搭建一个htmlB,上传webshel??lC,登录服务器确认文件重现漏洞,确认网站存在UEditor编辑器任意文件上传漏洞。(5)跟踪分析通过日志分析,定位攻击者的IP地址,跟踪IP相关文件的访问记录,还原攻击者的行为。攻击者首先访问网站首页,然后扫描目录找到UEditor编辑器的路径,成功通过任意文件上传漏洞上传webshel??l。3、事件处理检查网站上传目录下的可疑文件,清除Webshel??l。通过分析复现,确认编辑器存在任意文件上传,需要及时修复代码。
