5. 系统漏洞造成数据泄露
事件概述
某日,安服应急响应团队接到某市医药公司应急请求,公司DMZ服务器区出口地址存在外连行为。
应急人员排查分析,发现对外攻击的IP为该公司内网某系统的出口地址,因该系统供应商要求对系统进行远程维护,特将服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查,发现内网某系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对该服务器系统部署文件进行排查,发现此服务器存在任意文件写入漏洞,并且发现两个Webshell后门。
经分析研判最终确定,攻击者通过内网某系统映射在公网的3389端口进行远程登录,并上传Webshell后门1,用于执行系统命令;利用该系统任意文件写入漏洞,上传Webshell后门2,用于上传任意文件,写入恶意木马文件,对外网发起异常连接,进行数据传输。
防护建议
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化
- 加强设备权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制
- 建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力