开发者中心 > 专栏 > 内容详情
分享
  • 点击前往QQ分享

  • 点击前往微博分享

  • 点击复制链接

案例分享 | 一起主页被黑跳转博彩网站的安全入侵事件!

  • 京东智联云安全团队
  • 2019-03-21
  • Facebook:8700万用户数据泄露

  • 俄罗斯黑客入侵美国电网

  • AcFun:900万条用户数据泄露

  • 黑客利用思科智能安装漏洞攻击网络基础设施

  • Github遭遇Memcached DDoS TB级攻击

.....2018年让人哭到血槽空的安全事件



虽然很多人都清楚云计算的优点,但却因各种安全威胁而对其望而却步。对于介于互联网发送的无定形资源与物理服务器之间的事物,确实让不少人费解。但其实它只是一种不断变化的动态环境,其面临的安全威胁会不断变化。


这也就意味着,在很大程度上,云安全性即%uA0IT 安全性。在理清这两者的具体区别之后,您就不会再觉得“云”这个词不安全了。


为了帮助大家更好地来理解这一点,我们将和大家分享一起发生在2018年底的真实客户安全事件案例。


网路千万条,安全第一条
事件概述


2018年底,客户发现在访问网站主页时页面会跳转到博彩网站,怀疑已经被黑客入侵。与此同时,立马联系了京东云安全团队进行入侵分析。




入侵分析


通过查看/home/www/index.php的最后修改时间为2018年10月20日,且与用户发现主页被篡改的时间较为吻合,所以初步判断主页被篡改即系统被入侵的时间为2018年10月20日。黑客在主页中写入的JS代码如下图:


分析过程如下:

账户安全排查


通过Last命令查看主页被篡改前,是否有可疑IP登录主机,如下图所示,在期间并未有可疑IP登录主机。



查看/etc/shadow文件后确认主机中没有ROOT以外可以用来登录主机的用户,且ROOT用户的密码复杂度高,难以被破解,由此可初步认为攻击者并不是通过暴力破解SSH来登录主机。


端口服务及进程排查


对主机中的进程进行排查,并未发现可疑的进程

使用 netstat 网络连接命令,分析可疑端口、IP、PID

通过上图可以看出,主机所开服务有SSH、Exim、MySQL以及Nginx,但是Exim和MySQL服务都不对外开放,Nginx服务是一个可能的入侵点。


木马后门及病毒检测


经京东云安全部门排查发现在Web目录下的Ueditor目录中,存在WebShell木马。

通过HTTP可直接访问到该WebShell,从而可以直接对服务器进行操作。


本次分析对rootkit后门进行排查,确认主机中并未被黑客留下Rootkit后门,并发现两个可疑文件。


Nginx日志排查分析


通过对Nginx日志的排查发现,Nginx日志不全,对域名的访问日志记录全未开启,导致入侵无法溯源。但是通过Nginx日志仅有的部分依然可以看出有大量恶意攻击者在对http://XXX/phpmyadmin管理后台进行暴力破解。


分析结果


通过本次入侵分析,发现黑客入侵并没有留下太多的日志痕迹,并且入侵之后只挂了博彩页面,并未利用主机进行挖矿等操作。由于日志不全,很难断定黑客本次入侵的具体方法是哪一种,但通过本次分析,可以总结出如下几种可能的入侵方式:


  1. 黑客在2018年7月份,通过ueditor漏洞上传了WebShell木马文件(http://www.XXX.cn/ueditor/php/upload/file/20180717/12136968036.php),并在10月份通过webshell修改了主页;

  2. 通过爆破phpMyadmin(http://XXX/phpmyadmin/)以root权限进入后进行入侵操作;

  3. 由于主站使用了帝国CMS框架且版本为7.2,存在较多漏洞,黑客可通过暴力破解进入后台中,可利用漏洞上传木马后入侵;

  4. 主机中开启Exim服务,存在远程代码执行漏洞,虽然现在未对外开放,若曾经对外开放过,可能在当时已被入侵。




安全建议

木马后门

  1. 请及时删除本次发现的木马后门等可疑文件。如上所示的几个可疑文件,以及Web目录下的WebShell文件。

  2. 建议使用主机安全防护产品,以降低服务器受木马病毒攻击的风险。


后台安全

  1. 针对所有后台,如上述phpMyadmin、以及帝国cms的后台。如果不需要,请不要对外开放,如果有需要对外访问,可疑使用ACL规则只允许白名单中的ip访问。后台不使用默认路径,尽可能将目录复杂化,不容易被黑客发现。

  2. 针对所有后台,请将后台的密码设置为强密码,降低被暴力破解的可能。


存在漏洞的服务和组件

  1. 本次分析中发现,服务器中使用了存在高危漏洞的组件或服务,请尽快更新。如ueditor、帝国cms、exim都是可能存在高危漏洞的版本,需要升级到最新版本,避免漏洞被利用。

  2. 请关注所用组件和服务的更新情况,及时对旧版本进行更新,避免错过漏洞修复补丁。


应用安全

建议使用WAF防火墙保护网站,降低黑客入侵的风险。


Nginx日志保存

为了保证被入侵后能溯源入侵过程,请开启Nginx日志(配置文件在目录/usr/local/nginx/conf/vhost/),并确保至少能保存6个月。



引入安全服务产品的必要性


通过以上的客户案例,能够说明很多客户对自己的系统存在的潜在风险并不清楚,且不知道如何入手。

本次案例展示的是一次京东云应急响应服务的实际案例,应急响应服务是在用户已经遭受黑客入侵事件后,提供包含括抑制止损、事件分析、系统加固、事件溯源等应急响应服务,帮助用户降低安全事件对自身造成的影响与损失。

而用户更需要的是在黑客入侵事件发生前,尽早发现系统中的各种潜在威胁,及时修复安全漏洞,提前做好安全加固,防范于未然。


京东云安全服务简介


京东云专业可靠的渗透测试服务能够帮助用户更全面更深入的发现系统中的潜在风险。

可以最大限度,最低成本保护好用户的网站和核心数据,避免用户由于黑客网络攻击而造成重大损失。


渗透测试简介

渗透测试(Penetration Testing)是由具备高技能的专业安全服务人员发起的,通过模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。

渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让用户了解其系统所面临的威胁。

渗透测试不同于脆弱性评估,在实施方式和方向上也与其有着很大的区别。脆弱性评估是在已知系统上,对已知的弱点进行排查。渗透测试往往是“黑盒测试”,测试者模拟黑客,不但要在未知系统中发现弱点,而且还要验证部分高危险的弱点,甚至还会挖掘出一些未知的弱点。


渗透测试的必要性

由于实施渗透测试的技术人员都具备丰富的安全经验和技能,所以其针对性比常见的脆弱性评估会更强、粒度也会更为细致。

另外,渗透测试的攻击路径及手段不同于常见的安全产品,所以它往往能暴露出一条甚至多条被人们所忽视的威胁路径,从而暴露整个系统或网络的威胁所在。

最重要的是,渗透测试最终的成功一般不是因为某一个系统的某个单一问题所直接引起的,而是由于一系列看似没有关联而且又不严重的缺陷组合而导致的。日常工作中,无论是进行怎么样的传统安全检查工作,对于没有相关经验和技能的管理人员都无法将这些缺陷进行如此的排列组合从而引发问题,而专业的渗透测试人员却可以靠其丰富的经验和技能将它们进行串联并展示出来。


京东云渗透测试服务

京东云可为用户提供专业可靠的渗透测试服务(Penetration Test Service),对用户现有系统不造成任何损害的前提下,以攻击者视角,模拟黑客入侵的技术手段对用户指定系统进行全面深入的攻击测试,发现系统中潜在的风险威胁,帮助用户降低因黑客入侵带来的经济损失。


渗透测试流程


除此之外,京东云还能够提供以下安全服务:


安全必备的基线检测服务

通过基线检测服务,帮助用户检测云上系统开放的端口、服务以及账号安全性等关键信息。用户通过基线检测结果可以判断系统的健康状态、并帮助用户完成安全加固。


覆盖全面的漏洞扫描服务

能够为用户提供主机漏洞扫描服务、Web漏洞扫描服务、数据库漏扫描服务、以及定制化扫描服务。并提供专业的漏洞扫描报告以及解决方案。