第9篇:编辑器入侵事件.md 2.6 KB
第9篇:编辑器入侵事件
UEditor是百度的一个javascript编辑器的开源项目,很多开发人员都喜欢引用这个编辑器,但这个编辑器官网版本一直停留在2016-05-26,已经很久没有更新了。
0x01 现象描述
HIDS预警:发现后门(Webshell)文件,建议您立即进行处理。
0x02 事件分析
1、发现Webshell
通过预警信息,找到木马文件路径:
备注:紧急处理,通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。
2、定位文件上传时间
根据Webshell文件创建时间,2020年3月9日 15:08:34
3、Web访问日志关联分析
由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,我们这里查看的是 7:08的日志时间。
2020-03-09 07:08:34 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage
...................
...................
2020-03-09 07:08:35 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage
找到对应的网站访问日志,在文件创建时间隔间里,我们会注意到这样两个ueditor的访问请求,初步怀疑是UEditor编辑器任意文件上传漏洞。
4、本地漏洞复现
A、本地构建一个html
<form action="http://xxxxxxxxx/ueditor/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" method="POST">
<p>shell addr:<input type="text" name="source[]" /></p >
<inputtype="submit" value="Submit" />
</form>
B、上传webshell,上传成功
经漏洞复现,确认UEditor编辑器任意文件上传漏洞。
5、还原攻击者行为
通过相关文件的访问记录进行关联分析,攻击者通过 ueditor编辑器成功上传webshell。
0x03 事件处理
1、删除Webshell
清楚已发现的webshell,并尝试查找可能隐藏的webshell。
2、代码完整性验证
我们来思考一个问题,如果有一个免杀的Webshell隐藏在数以万行的代码中,怎么搞?
文件完整性校验,检查网站的源码是否被篡改过。
操作过程:
通过查看服务器上已部署的源代码版本,找研发同事要同样版本的代码。把纯净源码的所有文件计算一次hash值保存,再到服务器上执行一次hash值,通过比对hash值,输出新创建的/被修改过的/删除的文件列表。
3、系统入侵排查
对系统做一个整体排查,确认是否存在后门
4、代码修复
反馈给相关开发人员进行代码修复。