一、情况简介

1.1发现存在入侵

2018年12月06日，我司“云悉”互联网安全监测平台监测到某政府单位网站存在被植入恶意链接。我司“捕影”应急响应小组进行分析后确认为真实入侵事件后，立即进入应急响应。

1.2应急处理分析结果

经过分析，判断此次事件为黑客恶意攻击所致，通过日志分析等，目前得到以下结论:

二、入侵分析

2.1入侵现象

2018年12月06日，我司“云悉”互联网安全监测平台监测到该用户Web服务器被植入菠菜内容，具体如下：

初步判断结果如下：

2.2系统分析

2.2.1 账号及用户组分析

对系统账号进行分析，目前发现系统存在以下账号：

Administraotrxc2018、guest234用户，guest234用户被禁用，其中管理员组用户为adminnistratorxc2018,未发现异常。

对系统隐藏用户和克隆用户进行分析：未发现隐藏账号和克隆账号后门。

2.2.2 进程及资源分析

未发现系统高资源进程，可初步判断未植入挖矿程序。

2.2.3 开放端口分析

建议关闭135、139、445、10000等端口，其他端口需要根据业务需求来决定是否关闭。

2.2.3 其他分析

对该服务器的连接、安装软件、关键配置文件、启动项分析，目前未发现异常。

2.2.4 系统分析小结

主机系统未发现明显异常，建议关闭不必要的危险端口

三、WEB应用分析

3.1 菠菜页面分析

3.1.1 常见植入菠菜方法与原理

通过内容分析，发现此次黑客为SEO性质的。其主要目的在于通过黑帽SEO获取经济利益，一般情况下，黑客植入菠菜内容有以下途径：

1、前端劫持

前端劫持一般都是在网站的相应页面中插入JS脚本，通过JS来进行跳转劫持。也有发现黑客直接修改相应的页面内容的。

2、服务器端劫持

服务器端劫持也称为后端劫持，其是通过修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都会加载的配置文件，如访问x.php时会加载conn.php。这样的话，只需要修改这些全局的动态脚本文件(如global.asax)，访问所有的aspx文件时都会加载这个global.asax文件，可以达到全局劫持的效果。

3、DNS劫持

DNS劫持又称域名劫持，入侵者通过社工或弱口令或其他手段拿到被入侵者域名服务商的相关权限，修改DNS指向，将正常域名解析至菠菜网站或色情网站。细腻者可加JS代码判断访问者是否为百度谷歌等机器人爬虫，若为爬虫则跳转至菠菜页面，正常访问则跳转至正常页面。这种方式在被入侵者服务器中无任何入侵迹象，隐蔽性高，陷入思维误区时难以被发现。

3.1.2 菠菜分析

(1)前端劫持分析

对用户网站进行请求分析，未发现可疑JS请求。

对网站页面源码进行分析，未发现可疑代码。

(2)后端分析

进入后台页面可发现网站SEO信息篡改，其对应后端文件为GOLOBAL.ASP文件，通过页面分析未发现劫持，暗链等情况，应急处理后恢复正常。确定黑客仅利用后台配置添加菠菜信息。

3.1.3 应急处理

删除相关菠菜信息，并修改为正常信息。

3.1.4 Webshell分析

利用D盾及深信服的Webshell查杀工具对目标服务器Web应用进行查杀，未发现Webshell记一次入侵应急响应分析

四、日志分析

分析网站后台日志，未发现异常，但推测日志记录已被黑客清理。

分析iis系统日志，发现2018年12月6日日志数据量明显异常，为保证数据准确性与非偶然性，选择4，5，6日日志数据进行分析。

12月4号日志分析

12月5号日志分析

12 月6号日志分析

根据日志ip分析结果，可知服务器使用了SNAT源地址转换，导致无法溯源黑客ip。（此分析利用了秋式日志分析工具）

登录后台，模拟进行修改网站SEO信息操作，抓包分析更改基本信息的请求格式与特征

发现当进行更改网站基本信息时所发生的请求数据包具有如下特征：

POST /whir_system/module/setting/seosetting.aspx?time=519HTTP/1.1

根据以上几条特征，对日志进行分析。

根据时间线分析，我司人员于12月6日晚9时至12时与12月7日对该服务器进行应急响应。日志格式为w3c格式，采用GMT时间，而中国采用GMT+8时间，因此，12月7日与12月6日14点-16点间日志所执行的操作为我司人员应急响应操作。

我司云悉互联网安全监测平台于2018年12月6日16:40:00发出预警信息，在此时间之前，约15时GMT时间7时左右发现可疑请求。对照网站后台操作日志可发现，该时间段网站后台日志记录被删除。

由于使用了SNAT技术，无法根据IP进行关联分析，锁定入侵者UA进行分析

入侵者UA：

发现入侵者访问过后台更改管理员密码业务。未发现上传文件操作，及尝试连接木马操作。

日志分析结论：

五、分析总结

通过以上的分析，可以得出以下结论：

注1：初出茅庐的处女作，第一次进行实战入侵分析，有很多地方分析的不到位不全面，还请各位大大多多指教

注2：本次分析中用到的工具有D盾，深信服webshellskill,秋式日志分析工具，微软logparser