6. weblogic反序列化漏洞致网页被篡改

事件概述

某日，安服团队接到某政府部门应急请求，其网站首页被篡改挂有违法标语，需要进行排查分析并溯源。

应急人员到达现场后通过了解现场网络架构及应用部署情况，分别对应用web应用文件排查、系统日志分析以及防火墙日志分析排查发现web应用服务网站http://11.xx.xx.1与http://11.xx.xx.2 网站首页被篡改、网站存在weblogic反序列化漏洞、服务器存在恶意文件及图片。

经过最终研判分析，黑客首先通过IP:198.xx.xx.21对网站应用平台进行扫描攻击，通过扫描发现网站http://11.xx.xx.1与http://11.xx.xx.2存在weblogic反序列化漏洞。攻击者通过利用该漏洞默认路径下可提交恶意的XML格式的数据，提交的数据在服务器端反序列化时实现远程命令执行，进而获得服务器的权限。最后通过获取到的服务器权限来修改网站首页文件index.jsp，加载恶意图片1.jpg，成功篡改网站首页，并在违法黑客网站进行炫耀其攻击成果。

防护建议

• 封禁攻击者服务器IP、删除服务器上恶意文件及图片
• 对应用平台漏洞进行补丁修复，修复相关组件进行重启
• 加强安全运营监控力度，针对告警事件分析研判与处置
• 优化主机、网络安全设备安全策略
• 如非必须禁止内网服务器出外网
• 有效加强访问控制ACL策略，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口