Tường thuật Diễn tập An ninh mạng tháng 8/2016: “Điều tra và xử lý website bị tấn công”

Các bước thực hiện ban đầu của Đội ứng cứu sự cố Sở Thông tin và Truyền thông Thanh Hóa
Bước 1: Lấy Log trên máy chủ bị tấn công
Vào XAMP lấy log access
Bước 2: Lấy mã nguồn về máy phân tích
Copy mã nguồn web tại C:XAMPhtdocs
trong thư mục:htdocs/files xuất hiện nhiều file lạ nghi vấn là các backdoor và malware:
family, myboy...
Đang phân tích tiếp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Lấy Log trên máy chủ bị tấn công ntn nào Bình Dương ơi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
admin ơi máy ảo bk vào xong nhìn icon làm đc j đâu ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
có tiến trình lạ chrome.exe trong xamppmysql trong startup
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cac shell.jpg

cả đóng shell, biết ban tổ chức muốn nói tới shell nào?
giao diện của http://drill15.whitehat.vn đã thay đổi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã thông báo HỆ THỐNG ĐANG ĐƯỢC NÂNG CẤP
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Các bước thực hiện tiếp theo của Đội ứng cứu tỉnh Thanh Hóa
Bước 3: phân tích log thấy có kết nối từ IP đến backdoor sau:
firefox.php ---ip 118.70.128.104
Địa chỉ IP này thực hiện scan webserver với tần suất hơn 17550
Search với key POST để kiểm tra quá trình upload shell lên webserver
Quá trình lọc với key POST giúp cô đọng lại quá trình phân tích
Thử với file upload.php
http://drill13.whitehat.vn/upload.php
Cho phép người dùng đăng ký và không giới hạn quá trình upload file
http://drill13.whitehat.vn/file/adsl.PHP
shell adsl.PHP hiển thị toàn bộ thông tin của Websever như list cấu trúc thư mục
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
ban tổ chức có cho phép cài đặt wireshark trên hệ thống không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Gợi ý giải yêu cầu Pha 1:
[h=2]1.Rà soát sơ bộ tình trạng, khắc phục tạm thời.[/h]
  • Cách khắc phục tạm thời: Tạo một file HTML tĩnh (index.html) với nội dung thông báo website đang bảo trì tại thư mục “C:xampphtdocs”. (Để ứng phó nhanh nên xây dựng sẵn mẫu bảo trì cho website để sử dụng khi gặp sự cố).
  • Các dấu hiệu bất thường trên máy tính:
    • Khi đã xác định được trang web bị tấn công, tiến hành rà soát các file độc hại ở trong thư mục web (C:xampphtdocs). Sử dụng các trình editor để tìm kiếm theo các hàm nguy hiểm thường được sử dụng trong web shell (Một số hàm phổ biến: preg_replace, passthru, shell_exec, exec, base64_decode, eval, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source).
Khi sử dụng “Notepad++” để tìm các hàm trong tất cả các file trong thư mục web, phát hiện có file shell“C:xampphtdocsfilesfirefox.PHP” có chứa nhiều hàm nguy hiểm như “system, exec, eval, popen,… ” hơn nữa file này có ở trong thư mục upload file của website.
Ngoài ra có thể sử dụng thêm một số công cụ hỗ trợ như Web Shell Detector để quét các định dạng shell phức tạp hơn (sử dụng mã hóa tên, mã hóa mã nguồn…).
  • Rà soát các tiến trình của hệ thống. Sử dụng “Process Explorer” để kiểm tra các tiến trình đang chạy. Phát hiện tiến trình đáng ngờ là “Chrome.exe”, tiến trình này không có chữ ký, không có thông tin version và không có mô tả. Ngoài ra đường dẫn của chương trình lại nằm ở thư mục “C:xamppmysqlchrome.exe”.
  • Con đường lây lan của mã độc, cơ sở xác định: Qua thông tin website bị deface và đường dẫn của file shell tại thư mục upload file của website. Có thể dự đoán hacker đã tấn công qua lỗ hổng web và upload file độc hại lên server.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sở TT&TT Tiền Giang đã nhận được user đăng nhập. Tks!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Drill_BinhDuong;n58811 đã viết:
ban tổ chức có cho phép cài đặt wireshark trên hệ thống không?

Được cài đặt wireshark bạn nhé :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
CB thực hiện xong:
1. Thay đổi nội dung website đang bảo trì
2. Quét phát hiện các shell nguy cơ: xxx.way, mp3.way, gogo.way, hayho.png, mybody.png, firefox.php....
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên