记编辑器漏洞引发的应急处理

安全 漏洞
作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。

本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。

作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。

1. 事件起因

接到云安全中心安全预警,发现后门(Webshell)文件,申请服务器临时管理权限,登录服务器进行排查。

2. 事件分析

(1) 确认Webshell

进入网站目录,找到木马文件路径,确认为Webshell。应急处理:通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。

(2) 定位后门文件上传时间

根据Webshell文件创建时间,2020年3月9日 15:08:34 。

(3) Web访问日志分析

PS:由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,这里我们需要查看的是 7:08的日志时间。

找到对应的Web访问日志,在文件创建时间间隔里,我们会注意到这样一个ueditor的访问请求,初步怀疑可能与UEditor编辑器漏洞有关。

(4) 漏洞复现

以 UEditor编辑器 文件上传漏洞作为关键字进行搜索,很快我们就在网络上找到了poc。接下来,我们来尝试进行漏洞复现。

A、本地构建一个html

B、上传webshell

C、登录服务器确认文件

经漏洞复现,确认网站存在UEditor编辑器任意文件上传漏洞。

(5) 溯源分析

通过日志分析,定位到了攻击者的IP地址,对这个IP相关文件的访问记录进行跟踪,可以还原攻击者行为。攻击者首先访问了网站首页,然后目录扫描找到UEditor编辑器路径,通过任意文件上传漏洞成功上传webshell。

3. 事件处理

  • 检查网站上传目录存在的可疑文件,清除Webshell。
  • 通过分析复现确认编辑器存在任意文件上传,需及时进行代码修复。

 

责任编辑:赵宁宁 来源: Bypass
相关推荐

2011-01-10 16:17:49

2012-08-10 10:47:45

JavaScript

2010-03-24 09:20:07

CentOS vi编辑

2013-06-18 01:22:46

CocoStudio工Cocos2d-x

2011-03-22 13:54:57

UbuntuPHP编辑器

2019-06-14 09:12:46

漏洞代码攻击

2017-03-09 11:45:16

LinuxVim编辑器

2018-09-25 09:25:11

Vim编辑器命令

2020-10-14 14:00:39

VIM编辑器

2009-12-04 17:07:49

SlickEdit

2022-05-31 14:46:02

Ruby编码线上编辑器

2022-01-04 08:16:49

编辑器在线编辑开发

2023-01-18 08:30:40

图形编辑器元素

2023-02-01 09:21:59

图形编辑器标尺

2020-09-18 06:00:51

开源Markdown编辑器

2018-05-11 14:59:21

LinuxVim编辑器

2023-04-07 08:02:30

图形编辑器对齐功能

2023-09-10 23:22:33

Zettlr笔记编辑器

2020-11-02 11:21:35

Python编辑器代码

2009-09-28 11:09:37

点赞
收藏

51CTO技术栈公众号