4. Tomcat中间件漏洞致官网被上传博彩页面

事件概述

某日，安服团队接到某政府部门应急响应请求，客户官网被植入博彩页面，希望协助恢复官网正常业务，并追溯攻击来源。

应急人员抵达现场后，分别对WCM后台编辑管理平台、iGuard网页防篡改系统、Linux WEB前端服务器进行排查，成功定位博彩页面及Webshell文件。在运维人员对服务器镜像进行备份后，将博彩页面、Webshell文件进行删除，网站恢复正常工作。

应急人员经过分析排查，成功还原攻击路径：攻击者利用WCM系统的Tomcat中间件漏洞上传Webshell文件，获得了WCM系统管理员权限，继而将博彩页面上传至WCM服务器。之后，WCM服务器上的博彩页面被iGuard推送至iGurad服务器和前端WEB服务器，造成了"网站被挂博彩页面暗链"的情况。此外，攻击者还留下了其它的webshell以便对WCM服务器实现长期控制。

防护建议

• 及时进行中间件版本更新，对已知漏洞进行补丁修复
• 安装服务器防护软件，及时更新病毒库，对发现的威胁文件立即隔离查杀，并排查漏洞
• 建议部署网页防篡改设备，对网站文件、目录进行保护，拦截黑客的篡改操作，实时监控受保护的文件和目录，发现文件被篡改时，立即获取备份文件并进行还原
• 对服务器开展安全大检查，包括但不限于恶意IP封禁、恶意文件以及后门清理、网站漏洞检测及修复等