记一次服务器被入侵的调查取证

0×1 事件描述

小Z所在公司的信息安全建设还处于初期阶段，而且只有小Z新来的一个信息安全工程师，所以常常会碰到一些疑难问题。一天，小Z接到运维同事的反映，一台tomcat 的web服务器虽然安装了杀软，但是还是三天两头会出现杀软病毒报警，希望他能查下原因。

小Z首先设想了三种可能性:

1.存在系统漏洞

2.由于前期运维在服务器上装了一些工具软件，会不会工具软件引入的病毒

3.应用层漏洞。

于是，他从这三方面开始了调查。

首先，小Z用更新库的漏扫对系统层面的漏洞检测，未发现任何异常；由于会有开发连接进这台服务器，他去开发那里收集工具软件进行查毒处理，也没发现异常，排除通过软件带入病毒的可能；那难道是通过应用层漏洞进来的为系统上线前都会经过web渗透测试，文件上传，SQL注入等常规漏洞已经修复，虽然这样，小Z还是重新验证了一遍漏洞，没有问题，又用D盾webshell检测工具进行了扫面，未发现任何webshell。

那病毒是怎么产生的/p>

0×2 溯源准备 

由于病毒无法清干净，也不清楚黑客是已经在机器上做了哪些手脚，业务方要求小Z重新搭建一个干净的环境，给系统打好最新的补丁，交给开发重新放入生产。由于前期没有在主机端做日志收集类工具，缺乏主机端的攻击溯源手段，小Z临时搭建了splunk日志分析系统，并在新搭建的服务器上安装了sysmon日志收集工具，对主机层面进行了日志收集。过了一星期左右，小Z发现系统进程里面居然多了个叫wcmoye的进程，凭感觉这不是个正常程序，那就先从这个程序开始入手调查吧。

0×3 常规排查 

常规排查还是采用了微软经典系统工具systeminternals套件，分别对启动项，系统进程，网络连接等简单做了排查。

启动项除了services这一项发现了一个奇怪的StuvwxAbcdefg Jkl，其他没有特别值得注意的地方。

进程依赖于StuvwxAbcdefgh Jkl这个服务

同时会有一些注册表及文件系统上的行为，确定wcmoye躲在C:windowssyswow64目录下

不急，进一步搜索NewRat，小Z发现了更大的信息量:在wcmoye被创建的前一秒 20：24：10，tomcat7.exe去调用cmd.exe执行了一段比较长的脚本，

同时还观察到services.exe的执行，系统服务创建

其实到这里，wcmoye是从哪里进来的已经基本搞清楚了，接下来的问题就是为什么会进来omcat为什么去执行这些恶意命令在唯一的线索就是日志中的那个ftp登陆的ip以及账号密码了，继续吧。

0×5 顺藤摸瓜

小Z带着好奇心，继续探索过程，直接进入了这个ftp服务器!

还有个独特专版st2-045 winlinux小组版文件夹，潜意识告诉小Z这个文件夹里面很可能有谜底的答案，先直接百度一下

start.bat开始看吧

有一个叫wincmd.txt的文件，是winows平台下的执行脚本，红框的内容和前面splunk日志中的那段日志一模一样，也就是帮小Z引导到这里的那段关键日志。

到这里，小Z已经大致猜得出自己的公司网站是怎么被盯上的了。再看下几个可执行文件:

S.exe就是扫描器

看得出Str045.exe就是struts2-045的利用脚本程序，他会去读取S.exe扫描出的ip及端口开放情况的文件，组合do，action等开启多线程去exploit，然后根据被攻击的系统版本，去执行相应的脚本，像小Z公司的这台web服务器是windows的，就会去执行wincmd.txt。

0×6 网络架构

目前调查到的种种迹象让小Z坚信黑客是通过struts2-45漏洞进来的！于是小Z去网上下载了一个最新的struts漏洞检查工具，直接对网站的80端口进行检测，但结果出乎意料，居然没有漏洞报警。

这串高度相关的日志 究竟隐藏着什么意义不会是解开谜团的入口着强烈的好奇心，小Z咨询了网络组的同事，什么情况下才会出现这样的情况，网络组给出了网站如下的网络架构，并说明了由于业务的临时需求，新对网络架构做了新的调整。

再试试443端口，也能检测出：

第二次，软件请求的还是与80端口，而且get请求是带完整https url路径的,这种请求格式导致F5返回一个奇怪的重定向https://WWW.XXX.COMhttps://WWW.XXX.COM/test/test.do.导致漏洞验证失败。

再来对比一下浏览器页面访问80端口测试：经过tcp三次握手，浏览器发出get请求之后，F5返回一个302重定向，浏览器于是向443端口开始了三次握手，接下来就是https的通信过程，

通过对比实验分析，发现在漏洞利用工具在测试80端口时，如果网站做了80转443端口的强制跳转，浏览器在得到302重定向后就开始向443端口开始3次握手，而测试软件的数据包处理过程就有问题，这时候直接测试80端口软件就会存在误报。

小Z之前由于粗心，只测试网站的80端口，得出错误的结论，原因也找到了。

0×9 结尾

到此为止，所有的谜团一一解开，小Z结束了这次曲折的入侵取证之路。

参考链接：

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

http://www.freebuf.com/sectool/125846.htm

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树首页概览91437 人正在系统学习中 相关资源：KK录像机-瓜

来源：weixin_33853794