安全老司机|几百万的安全设备,却解决不了一个问题 – 作者:青藤云安全

自从大学毕业后,我就进入了一家安全公司做技术工作。多年过去,一直奔波于各色各样的客户现场,听过各种类型的客户需求,处理过形形色色的安全问题,也聆听过各种吐槽与感慨。不过,这一次与黑客的实时交锋却让我难忘。

timg-3.jpeg

 

一次“直击灵魂”的对话

 

“四毛,你说说看,为啥我买了几百万的安全设备,防火墙、堡垒机、IDS、IPS……数都数不清了,为啥黑客到我这里还是能来去自如?”

 

面对这样露骨的问题我也只能无奈说声,“老总,毕竟天下没有攻不破的网络…..”

 

还没等我说完,老总立马打断我。

 

“不能拦住所有攻击我也能理解,但是花了几百万,总要告诉我到底哪些攻击没被拦住?安全防线又是怎么被突破的?”老总不经意间提高了嗓门,还带着一丝丝的怒气。

 

“是啊,老总,安全最可怕的不是那些已经被拦住的攻击,而是那些没有被拦住却又不知道的攻击。”

 

“希望你们的产品,不会让我失望。能准确告诉我到底有哪些攻击没被拦住。”

 

正当我准备接话表决心的时候,我的两手机不约而同地发出“吱吱吱”猛烈震动,接连收到“Web后门”和“反弹Shell”两个高危告警……

 

“老总,看来没让您失望,现在你可以知道都有哪些攻击逃过了那堆“几百万设备”了。”

 

我立马飞奔机房……

 

“Web后门”和“反弹Shell”都是啥?

 

为了让各位老少爷们能身临其境体验与黑客实时交锋的场景,在故事开场前,我先给大家普及两个概念。懂行的可以直接跳过进入第三部分。

 

什么是Web后门

简单来说,Web后门(WebShell)就是一个ASP、PHP或JSP的木马后门。一般情况下,黑客在入侵一个网站后,常常会将这些ASP、PHP或JSP的木马后门文件放置在网站服务器的Web目录中,与正常的网页文件混在一起。黑客通过这些Web后门可以控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。通俗来讲,就是你的网站被黑了。

 

反弹Shell又是何物

想要搞清楚这个问题,首先要搞清楚什么是反弹,为什么要反弹。

 

攻击者用自己的机器去连接目标主机,这叫做正向连接,例如远程桌面、Web服务、SSH、Telnet等。

什么情况下正向连接不太好用呢?

 

(1)被控制机器在局域网内,IP会动态改变,不能持续控制。

(2)由于防火墙等限制,对方机器只能发送请求,不能接收请求。

 

所以建立一个服务端,让目标机器主动连接,这才是上策。攻击者指定服务,让受害者的主机主动连接攻击者的服务器,就叫反弹连接。黑客在拿到WebShell后,如果目标主机是Linux服务器,一般都会选择反弹Shell,以方便后续操作。

 

知己知彼,百战不殆

 

上战场前,为了做到知己知彼,还是先打开手机了解下整体战况。有了这两份精准而又详细的报警信息,将会让分析过程变得更简单。

 

通过产品“Web后门”告警信息,可以看到这个WebShell文件shell.php具有反弹Shell的功能。

 

 

通过产品“反弹Shell”告警信息,可以清楚了解如下图所示的各种信息,包括攻击时间、连接进程、反弹目标主机和端口等等。

 

 

 

查看反弹Shell的详情,果然发现在10点53分,老总机房一台主机“失陷”了。通过PHP71连接进程主动对远在菲律宾的一台目标主机发起了连接(这显然是黑客控制的一台服务器)。

 

 

黑客是怎么进来的

 

按照道理,老王“军营”封闭式管理非常严格,大门前有站岗的“防火墙”,军营内到处都是无死角的视频监视“入侵检测”,内部还有审计员“堡垒机”…….层层防护下,黑客是如何做到来去自如?

来源:freebuf.com 2019-06-06 11:32:20 by: 青藤云安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论