5. Weblogic WLS组件漏洞致网页被篡改
事件概述
2020年6月,安服应急响应团队接到某事业单位应急响应请求,其官网首页被篡改挂有违法图片,希望对该官网系统业务服务器进行排查分析,并追溯攻击来源。
应急人员抵达现场后,与现场运维人员沟通了解到,业务服务器通过99端口对互联网提供WEB应用服务。
应急人员通过对该服务器Web日志进行排查分析发现,该服务器对互联网还开放9001和9002端口,并发现攻击者在凌晨6点上传一句话木马s.jsp文件。应急人员通过关联s.jsp文件名,检索access.log 和 WLS_REPORTS.log 日志最终确定攻击者ip,并筛出该攻击ip所有访问日志。通过对访问日志进行排查分析发现,该日志中有大量针对9002端口的Weblogic WLS 组件漏洞攻击的痕迹,由于无法通过Web应用日志确认是否存在Weblogic WLS组件漏洞,因此,应急人员利用Weblogic WLS组件漏洞进行攻击测试,最终确认存在该漏洞。根据日志中攻击者利用Weblogic WLS 组件漏洞攻击时间与官网首页篡改时间比对,攻击成功时间和官网首页被篡改时间相近,由此推断攻击者利用Weblogic WLS 组件漏洞代码进行攻击,成功进入服务器。
攻击者利用Weblogic反序列化漏洞,对开放9002端口的服务器进行攻击,获得该服务器权限并上传一句话木马s.jsp文件。通过查看服务器web目录发现,该服务器对外开放的99端口下部署有该公司官网系统,随后向该系统上传违法图片,修改官网首页。
防护建议
- 对系统文件上传功能,采用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则
- 加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等
- 关注官方漏洞发布信息,及时安装漏洞补丁,加强日常安全巡检工作,定期对系统配置、网络设备配置、安全日志以及安全策略落实情况进行检查,常态化信息安全工作
- 关闭不必要的高危端口,对服务器开展安全大检查,包括但不限于恶意IP封禁、恶意文件以及后门清理、网站漏洞检测及修复等
- 建议部署网页防篡改设备,对网站文件、目录进行保护,拦截黑客的篡改操作,实时监控受保护的文件和目录,发现文件被篡改时,立即获取备份的合法文件并进行文件还原