門戶網(wǎng)站內(nèi)容遭篡改過(guò)程分析

門戶網(wǎng)站是用戶的對(duì)外窗口，也是形象的重要組成部分，承載著業(yè)務(wù)公布、資源信息化、線上線下交互等等一系列重要功能。因此，維護(hù)門戶網(wǎng)站的安全運(yùn)行，事關(guān)重要。

環(huán)境描述

某教育單位接到安全部門通知，其教育中心網(wǎng)站圖片被惡意篡改，造成了惡劣的影響，被責(zé)令修正。該單位領(lǐng)導(dǎo)非常重視，要求迅速排查網(wǎng)頁(yè)被篡改的原因，及攻擊者如何侵入網(wǎng)站。

然而，通過(guò)常規(guī)排查，網(wǎng)站服務(wù)器并未發(fā)現(xiàn)木馬等惡意程序，從服務(wù)器內(nèi)日志也未能發(fā)現(xiàn)異常。于是，該單位向科來(lái)請(qǐng)求網(wǎng)絡(luò)安全應(yīng)急檢查服務(wù)，為其解決燃眉之急。

分析過(guò)程

由于之前在用戶互聯(lián)網(wǎng)出口位置，部署了科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)。所以，可以提取問(wèn)題發(fā)生時(shí)的數(shù)據(jù)包進(jìn)行深入分析。

科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)，可以完整還原問(wèn)題時(shí)段所有客戶端訪問(wèn)網(wǎng)站的記錄。分析這些數(shù)據(jù)時(shí)，發(fā)現(xiàn)了一些可疑的HTTP請(qǐng)求。81.89.96.88（德國(guó)）在頻繁的連接fy.jsp，并且方法多為POST（上傳），而這個(gè)文件是不應(yīng)該存在的。進(jìn)一步分析81.89.96.88地址的會(huì)話，發(fā)現(xiàn)81.89.96.88為代理服務(wù)器地址，而源IP地址為199.1.88.29（美國(guó)IP），但不能確定其是否多次使用代理。

還原數(shù)據(jù)流，發(fā)現(xiàn)81.89.96.88上傳了代碼向fy.jsp發(fā)送了代碼023=A&z0=GB2312，直接就連接到了服務(wù)器apache root目錄下，是一個(gè)典型的webshell行為，基本可以確定fy.jsp是一個(gè)webshell文件，代碼中的023就是webshell的登陸密碼，A是登陸行為的操作符。

通過(guò)數(shù)據(jù)流還原，深入的分析攻擊者的完整的攻擊行為。首先，攻擊者發(fā)送代碼023=B&z0=GB2312&z1=D%3A%5C%5Capachetomcat-7.0.39%5C%5Cwebapps%5C%5CROOT%5C%5C，通過(guò)指令B，列出Root目錄下所有文件的。

隨后，攻擊者發(fā)送代碼023=E&z0=GB2312&z1=D%3A%5C%5Capache-tomcat-7.0.39%5C%5Cwebapps%5C%5CROOT%5C%5Cindex.jsp，通過(guò)指令E刪除了原網(wǎng)站的首頁(yè)。然后，攻擊者通過(guò)發(fā)送指令I(lǐng)把原來(lái)目錄下的Index1.jsp文件重命名為Index.jsp。通過(guò)分析沒(méi)有發(fā)現(xiàn)攻擊者上傳或新建Index1.jsp文件，說(shuō)明此文件之前就存在于服務(wù)器內(nèi)。而這兩個(gè)文件主要的區(qū)別就是更換了中心圖片（bjds-logo.png換為bjds-header-bg.gif）。隨后，攻擊者列舉了images目錄下的文件，找到了網(wǎng)站的原中心圖片，并通過(guò)發(fā)送指令E刪除了images目錄下的首頁(yè)的中心圖片bjds-logo.png。緊接著，攻擊者發(fā)送代碼，向images目錄上傳了新的中心圖片文件。

至此攻擊者完成了對(duì)網(wǎng)站中心圖片的篡改。

攻擊者完成圖片替換后，通過(guò)發(fā)送指令E刪除了fy.jsp（webshell），防止被網(wǎng)站運(yùn)維人員發(fā)現(xiàn)。

最后，攻擊者再次嘗試連接fy.jsp（webshell）時(shí)，可以看到服務(wù)器回應(yīng)為404 Not Found，說(shuō)明此時(shí)Webshell已經(jīng)被攻擊者從服務(wù)器中刪除。

分析結(jié)論

經(jīng)上述分析可以得出結(jié)論，攻擊者使用代理的方式隱藏自己的真實(shí)IP，并通過(guò)隱藏后的IP連接到服務(wù)器中的Webshell。通過(guò)Webshell，修改了主頁(yè)的配置，并且刪掉網(wǎng)站原圖，上傳了惡意圖片來(lái)代替原圖。在完成替換后，刪除了Webshell文件。所以，運(yùn)維人員難以通過(guò)常規(guī)手段準(zhǔn)確判斷攻擊手段及時(shí)間。

價(jià)值

通過(guò)科來(lái)網(wǎng)絡(luò)回溯分析系統(tǒng)，基于流量對(duì)Webshell的行為進(jìn)行檢測(cè)，在HTTP請(qǐng)求/響應(yīng)中可以快速發(fā)現(xiàn)蛛絲馬跡。并且，基于payload的行為分析，不僅可對(duì)已知Webshell進(jìn)行檢測(cè)，還能識(shí)別出未知的、偽裝性強(qiáng)的Webshell?？苼?lái)網(wǎng)絡(luò)回溯分析系統(tǒng)是旁路部署的，即使攻擊者刪除了所有的攻擊痕跡，依然可以完整保存攻擊流量，對(duì)攻擊事件進(jìn)行完整的還原。并可根據(jù)Webshell特征進(jìn)行提前預(yù)警，最大程度的保障用戶業(yè)務(wù)安全。

網(wǎng)絡(luò)回溯分析讓管理者可以還原攻擊過(guò)程，即便再高級(jí)的攻擊，也可以掌握其漏洞利用和攻擊過(guò)程，為建筑更安全的網(wǎng)絡(luò)提供數(shù)據(jù)依據(jù)。

成都科來(lái)軟件有限公司

電話：400-6869-069 010-82601814

網(wǎng)址：www.colasoft.com.cn

論壇：www.csna.cn