某单位攻防演练期间的一次应急响应

本次安全事件攻击时间线如下图，攻击者针对oa系统进行攻击，攻击成功后上传web后门、内网代理工具、内网扫描工具至oa服务器。并对内网其他服务器进行横向的扫描利用。

分析结果如下：

根据现有痕迹（日志和文件）进行分析，4月14日22点59分左右攻击者147.77.158利用officeserverservlet模块上传2.jsp后门文件；

4月15日14点31分攻击者在/tmp目录下上传了test1内网渗透工具包，根据时间线推理攻击者利用jsp上传了test1工具包；

根据攻击者上传web后门前的操作进行关联分析，发现攻击者在上传web后门前均有访问officeserverservlet行为，该模块为金格office控件模块，该模块在2019年hvv期间爆出存在文件上传0day漏洞，且该模块互联网可直接未授权访问；

4月15日16点59分左右攻击者利用officeserverservlet模块上传了jsp后门文件；4月16日至17日期间，攻击者利用test3.jsp依次上传了tt.jsp、ts.jsp、aaa.jsp、tunnel.jsp多个恶意文件。

根据上述分析结论，应急处置如下：

已删除被攻击者恶意上传至oa服务器的web后门文件jsp、tt.jsp、ts.jsp、aaa.jsp、tunnel.jsp；

已删除被攻击者恶意上传的内网渗透工具包/tmp/test1；

根据上述分析结论和应急处置结果，提供安全建议如下：

建议关闭oa系统对互联网的直接服务，改为通过sslvn接入内网后访问oa系统。同时建议类似oa不是对所有互联网用户开放访问的系统均改为通过vxn接入后访问相关业务系统；

建议禁止互联网访问officeserverservlet组件；

建议梳理各个区域网络访问控制策略，仅开放必须的业务类端口通信，防止攻击者攻陷某台服务器后进行横向渗透造成多区域多主机失陷；

建议修改oa应用运行权限，若web运行权限为root，则攻击者通过web应用漏洞利用成功后即获得服务器管理员root权限；

建议定期巡检查杀web应用系统后门和操作系统病毒。

2.1.1 日志分析

根据IPS告警情况，4月15日15点34分左右存在webshell上传行为触发告警，动作为RESET重置，怀疑此刻存在攻击行为，立即进行应急响应。由于触发告警的为web后门，优先排查web日志。

根据web日志记录情况，4月14日22点52分左右，攻击者61.147.77.158第一次上传并访问2.jsp木马文件，且在第一次访问该后门文件前后均访问了officeserverservlet页面。

2.jsp文件修改时间为4月14日22点59分，关联日志文件，攻击者在22点59分只有2个http请求，在给officeserverservlet页面发送了一个post请求3秒后，立即发送了一个get请求访问后门文件是否存在。

此前攻击者在22点52分时就已访问了2.jsp文件，但可以发现使用的请求为GET请求，此时的2.jsp文件应为攻击者上传的测试jsp代码文件，用于测试上传是否成功以及是否可正常解析jsp文件，随后又通过officeserverservlet文件后上传覆盖了之前的2.jsp文件，可以看到攻击者发送了大量的POST请求至2.jsp文件，此时攻击者已连接上了web后门并进行了一系列操作。

查看2.jsp文件内容和文件mtime和ctime如下，文件内容存在大量编码后的字符，无法确认其功能。