Windows Server Web2入侵排查

一、环境搭建

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

网盘下载压缩包，解压后，在高版本（大于17.5）的VM中扫描打开。获取所有权并开启靶机即可

二、后门用户排查

1、命令简单的排查

net user

2、控制面板排查

3、本地用户和组管理排查

找到克隆后门用户hack897$

4、注册表排查

通过F键对比，该隐藏用户属于是克隆管理员后门用户

三、端口、进程排查

1、端口连接排查

与某端口的443端口处于等待关闭的状态

2、进程排查

7136进程是由于我开了一个应急排查工具的原因，并非恶意进程

四、自启动后门排查

1、计划任务排查

【控制面板】搜索计划任务，正常任务，无后门

2、自启动服务排查

3、自启动文件夹排查

4、自启动注册表项排查

有众多启动东注册表项，不一一展示了，均无后门存在

自启动均正常，并无后门存在

五、入侵日志排查

1、Windows系统安全日志排查

4624：成功登录的账户。
4625：登录失败的尝试。
4672：授予了特殊权限。
4720：账户创建。
4722：账户启用。
4723：账户禁用。
4724：密码更改。
4725：密码重置。
4726：账户删除。
4738：用户账户更改。
4739：用户组更改。
4762：用户组添加或删除成员。

通过4720 筛选创建用户的时间和用户名

2、Web日志排查

日志不大，使用在线日志分析工具进行人工日志分析

web 属于是php 的wordpress 博客框架

从47 条开始出现了外部IP192.168.126.135

该IP 一直在经过地址访问，通过观察请求的路径可以查看，该IP 在进行目录爆破，寻找敏感文件和路径，因此可以看到请求的响应码大都是404

一直到最后用post方式访问了``system.php 文件，而上一步操作疑似是访问了 logo 的图片，那么该system.php` 文件很有可能是攻击者上传的恶意文件

那么对于此次web攻击，system.php 文件具体是如何被攻击者上传的，有点让人摸不到头脑

3、FTP日志排查

在查看小皮的时候翻到了FTP 服务，而且该FTP 服务的根路径挂载到了www 目录下，这是相当危险的做法，找到FTP日志，对FTP 的日志再进行一次审计

可以看到web日志审计中的恶意IP 出现在了FTP 日志中，且一直在进行连接

在短短的几秒钟之内进行了上千次登陆的尝试，确认该恶意IP进行了ftp 爆破行为，且最终结果爆破成功

在该日志的最后暴露出来system.php 文件是通过ftp 进行上传来的

六、病毒木马文件排查

在上述日志排查过程中，疑似system.php 文件属于webshell 木马，位置在web网站的根路径，查看该文件的内容

确认是恶意后门脚本文件

七、溯源追踪

我们通过apache 日志的最后，可以看到，攻击者访问webshell木马文件system.php 文件之后依然执行了很多操作

具体执行了什么操作，如果此时有堡垒机的存在，追查将会变得非常容易，但是没有，我们只能通过日志和翻找等方式进行检查

锁定日志时间段，对system.php文件的访问在29日13:08:49 到 13:38:02，而 hack887$ 用户在13:27:11 的时候创建了后门用户

既然创建了后门用户，是否进行了登陆呢，在安全日志中锁定13.27.11 之后的登陆成功的日志，发现在13:28:45分进行了登陆

而登陆的IP 是192.1168.126.129

那么之后做了哪些操作呢？我们这里用一个工具LastActivityView，快速的排查近期被访问过的文件

在 13:44:13 的时候访问过一个疑似QQ号的文件夹名

并且在 13:47:30 的时候访问了frpc.ini.txt文件，我们找到相关目录，发现了frp 隧道相关文件

查看frpc.ini 文件，发现frps 服务的相关IP和端口

【应急靶场】Win Server Web2入侵排查