門戶網(wǎng)站是用戶的對外窗口，也是形象的重要組成部分，承載著業(yè)務(wù)公布、資源信息化、線上線下交互等等一系列重要功能。因此，維護門戶網(wǎng)站的安全運行，事關(guān)重要。

環(huán)境描述

某教育單位接到安全部門通知，其教育中心網(wǎng)站圖片被惡意篡改，造成了惡劣的影響，被責令修正。該單位領(lǐng)導(dǎo)非常重視，要求迅速排查網(wǎng)頁被篡改的原因，及攻擊者如何侵入網(wǎng)站。

然而，通過常規(guī)排查，網(wǎng)站服務(wù)器并未發(fā)現(xiàn)木馬等惡意程序，從服務(wù)器內(nèi)日志也未能發(fā)現(xiàn)異常。于是，該單位向科來請求網(wǎng)絡(luò)安全應(yīng)急檢查服務(wù)，為其解決燃眉之急。

分析過程

由于之前在用戶互聯(lián)網(wǎng)出口位置，部署了科來網(wǎng)絡(luò)回溯分析系統(tǒng)，實時監(jiān)控網(wǎng)絡(luò)運行狀態(tài)。所以，可以提取問題發(fā)生時的數(shù)據(jù)包進行深入分析。

科來網(wǎng)絡(luò)回溯分析系統(tǒng)，可以完整還原問題時段所有客戶端訪問網(wǎng)站的記錄。分析這些數(shù)據(jù)時，發(fā)現(xiàn)了一些可疑的HTTP請求。81.89.96.88（德國）在頻繁的連接fy.jsp，并且方法多為POST（上傳），而這個文件是不應(yīng)該存在的。進一步分析81.89.96.88地址的會話，發(fā)現(xiàn)81.89.96.88為代理服務(wù)器地址，而源IP地址為199.1.88.29（美國IP），但不能確定其是否多次使用代理。

還原數(shù)據(jù)流，發(fā)現(xiàn)81.89.96.88上傳了代碼向fy.jsp發(fā)送了代碼023=A&z0=GB2312，直接就連接到了服務(wù)器apache root目錄下，是一個典型的webshell行為，基本可以確定fy.jsp是一個webshell文件，代碼中的023就是webshell的登陸密碼，A是登陸行為的操作符。

通過數(shù)據(jù)流還原，深入的分析攻擊者的完整的攻擊行為。首先，攻擊者發(fā)送代碼023=B&z0=GB2312&z1=D%3A%5C%5Capachetomcat-7.0.39%5C%5Cwebapps%5C%5CROOT%5C%5C，通過指令B，列出Root目錄下所有文件的。

隨后，攻擊者發(fā)送代碼023=E&z0=GB2312&z1=D%3A%5C%5Capache-tomcat-7.0.39%5C%5Cwebapps%5C%5CROOT%5C%5Cindex.jsp，通過指令E刪除了原網(wǎng)站的首頁。然后，攻擊者通過發(fā)送指令I(lǐng)把原來目錄下的Index1.jsp文件重命名為Index.jsp。通過分析沒有發(fā)現(xiàn)攻擊者上傳或新建Index1.jsp文件，說明此文件之前就存在于服務(wù)器內(nèi)。而這兩個文件主要的區(qū)別就是更換了中心圖片（bjds-logo.png換為bjds-header-bg.gif）。隨后，攻擊者列舉了images目錄下的文件，找到了網(wǎng)站的原中心圖片，并通過發(fā)送指令E刪除了images目錄下的首頁的中心圖片bjds-logo.png。緊接著，攻擊者發(fā)送代碼，向images目錄上傳了新的中心圖片文件。

至此攻擊者完成了對網(wǎng)站中心圖片的篡改。

攻擊者完成圖片替換后，通過發(fā)送指令E刪除了fy.jsp（webshell），防止被網(wǎng)站運維人員發(fā)現(xiàn)。

最后，攻擊者再次嘗試連接fy.jsp（webshell）時，可以看到服務(wù)器回應(yīng)為404 Not Found，說明此時Webshell已經(jīng)被攻擊者從服務(wù)器中刪除。

分析結(jié)論

經(jīng)上述分析可以得出結(jié)論，攻擊者使用代理的方式隱藏自己的真實IP，并通過隱藏后的IP連接到服務(wù)器中的Webshell。通過Webshell，修改了主頁的配置，并且刪掉網(wǎng)站原圖，上傳了惡意圖片來代替原圖。在完成替換后，刪除了Webshell文件。所以，運維人員難以通過常規(guī)手段準確判斷攻擊手段及時間。

價值

通過科來網(wǎng)絡(luò)回溯分析系統(tǒng)，基于流量對Webshell的行為進行檢測，在HTTP請求/響應(yīng)中可以快速發(fā)現(xiàn)蛛絲馬跡。并且，基于payload的行為分析，不僅可對已知Webshell進行檢測，還能識別出未知的、偽裝性強的Webshell?？苼砭W(wǎng)絡(luò)回溯分析系統(tǒng)是旁路部署的，即使攻擊者刪除了所有的攻擊痕跡，依然可以完整保存攻擊流量，對攻擊事件進行完整的還原。并可根據(jù)Webshell特征進行提前預(yù)警，最大程度的保障用戶業(yè)務(wù)安全。

網(wǎng)絡(luò)回溯分析讓管理者可以還原攻擊過程，即便再高級的攻擊，也可以掌握其漏洞利用和攻擊過程，為建筑更安全的網(wǎng)絡(luò)提供數(shù)據(jù)依據(jù)。

成都科來軟件有限公司

電話：400-6869-069 010-82601814

網(wǎng)址：www.colasoft.com.cn

論壇：www.csna.cn