网络安全应急响应实战案例教学文档

案例概述

事件时间：2019年6月13日
受影响系统：某网站（基于织梦CMS，Apache+Windows环境）
攻击表现：网站首页内容被篡改为"缅甸腾龙娱乐公司"，文件修改时间被篡改为2015年

攻击时间线

初始入侵：2018年11月20日（最早后门上传时间）
最近攻击：2019年5月21日（重点分析此次攻击）
发现时间：2019年6月13日

攻击路径分析

漏洞利用：
- 攻击者利用织梦CMS在Apache+Windows环境下的短文件名泄露漏洞
- 通过访问/data/backupdata/dede_m~1.txt获取管理员账号
- 成功登录后台管理系统
后门植入：
- 通过后台访问dede/file_manage_view.php?fmdo=upload&activepath=路径
- 上传恶意文件5678.php（5月21日）
- 后续通过5678.php上传code.php一句话木马（6月13日）

应急响应排查过程

1. 系统状态检查

检查网络连接：未发现异常连接
检查进程：未发现高CPU/内存占用的异常进程

2. 日志分析

关键发现：

攻击者进行了目录枚举
利用短文件名漏洞获取管理员凭证
通过后台文件管理功能上传后门
后门文件被用于执行查询操作

3. 异常用户分析

发现cloudbase-init异常用户：

首次登录时间：2018年4月25日
最近登录时间：2019年6月6日
用户桌面发现xmrig挖矿软件（创建于6月16日）

挖矿软件传播途径排查：

无远程登录记录
无shell连接记录
浏览器历史记录无异常
系统日志未显示成功登录

4. 后门木马分析

5678.php后门分析

特征：

使用多层混淆：
- Base64编码
- Gzip压缩
- 动态变量名

分析步骤：

// 原始代码片段
eval(gzinflate(base64_decode('...')));

// 第一步：替换eval为echo查看原始代码
echo gzinflate(base64_decode('...'));

// 第二步：解码base64并解压gzip
$decoded = base64_decode('...');
$uncompressed = gzinflate($decoded);

// 第三步：分析解压后的代码
// 发现生成动态密码的过程

最终密码分析：
- 通过字符串操作生成密码hacker567
- 可成功登录后门

code.php一句话木马

特征：

免杀设计
测试发现可绕过：
- Windows 10自带防护
- D盾查杀

技术要点总结

织梦CMS漏洞：
- 短文件名泄露漏洞（Apache+Windows环境）
- 后台文件上传漏洞
攻击手法：
- 信息收集（目录枚举）
- 凭证窃取（通过漏洞获取管理员账号）
- 后门植入（文件上传）
- 持久化（多后门植入）
后门技术：
- 多层混淆（Base64+Gzip+动态变量）
- 免杀设计
- 密码动态生成
挖矿软件传播：
- 无痕植入技术
- 日志清理

防御建议

CMS安全：
- 及时更新CMS及插件
- 禁用不必要的功能（如短文件名支持）
- 加强后台认证（双因素认证）
系统安全：
- 定期审计用户账户
- 监控异常进程
- 限制文件上传功能
日志管理：
- 延长日志保留周期
- 集中式日志管理
- 实时日志监控
后门检测：
- 使用多层检测工具
- 定期文件完整性检查
- 部署行为分析系统
应急响应：
- 建立完整的事件响应流程
- 保留系统镜像用于取证
- 全面分析攻击路径

工具与资源

案例中提到的后门样本和分析脚本：
https://github.com/tide-emergency/php-
推荐检测工具：
- D盾
- 河马查杀
- 安全狗

附录：后门分析技术详解

5678.php分析步骤详解

初始代码观察：

eval(gzinflate(base64_decode('encoded_data')));

解码过程：

// 第一步：Base64解码
$base64_decoded = base64_decode('encoded_data');

// 第二步：Gzip解压
$uncompressed = gzinflate($base64_decoded);

// 此时得到混淆后的PHP代码

动态密码生成分析：

// 示例代码片段（简化）
$O00OO0 = urldecode('%6E%31%7A%62%2F%6D%61%35%5C%76%74%30%69%32%38%2D%70%78%75%71%79%2A%36%6C%72%6B%64%67%39%5F%65%68%63%73%77%6F%34%2B%66%33%37%6A');
// 输出：n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j

$O00O0O = urldecode('%62%61%73%65%36%34%5F%64%65%63%6F%64%65');
// 输出：base64_decode

// 最终密码生成逻辑
$password = 'hacker567';

完整还原技术：
- 通过逐步替换eval为echo
- 动态跟踪变量赋值过程
- 最终提取出核心功能代码

免杀木马技术要点

编码混淆：
- 多层编码转换
- 非常规编码组合
动态执行：
- 使用变量函数调用
- 运行时生成关键代码
环境检测：
- 可能包含反调试代码
- 环境适应性执行

通过本案例的详细分析，安全人员可以深入了解现代Web攻击的手法和后门技术，提升应急响应和威胁检测能力。

网络安全应急响应实战案例教学文档案例概述事件时间：2019年6月13日受影响系统：某网站（基于织梦CMS，Apache+Windows环境）攻击表现：网站首页内容被篡改为"缅甸腾龙娱乐公司"，文件修改时间被篡改为2015年攻击时间线初始入侵：2018年11月20日（最早后门上传时间）最近攻击：2019年5月21日（重点分析此次攻击）发现时间：2019年6月13日攻击路径分析漏洞利用：攻击者利用织梦CMS在Apache+Windows环境下的短文件名泄露漏洞通过访问 /data/backupdata/dede_m~1.txt 获取管理员账号成功登录后台管理系统后门植入：通过后台访问 dede/file_manage_view.php?fmdo=upload&activepath= 路径上传恶意文件 5678.php （5月21日）后续通过 5678.php 上传 code.php 一句话木马（6月13日）应急响应排查过程 1. 系统状态检查检查网络连接：未发现异常连接检查进程：未发现高CPU/内存占用的异常进程 2. 日志分析关键发现：攻击者进行了目录枚举利用短文件名漏洞获取管理员凭证通过后台文件管理功能上传后门后门文件被用于执行查询操作 3. 异常用户分析发现 cloudbase-init 异常用户：首次登录时间：2018年4月25日最近登录时间：2019年6月6日用户桌面发现 xmrig 挖矿软件（创建于6月16日）挖矿软件传播途径排查：无远程登录记录无shell连接记录浏览器历史记录无异常系统日志未显示成功登录 4. 后门木马分析 5678.php后门分析特征：使用多层混淆： Base64编码 Gzip压缩动态变量名分析步骤：最终密码分析：通过字符串操作生成密码 hacker567 可成功登录后门 code.php一句话木马特征：免杀设计测试发现可绕过： Windows 10自带防护 D盾查杀技术要点总结织梦CMS漏洞：短文件名泄露漏洞（Apache+Windows环境）后台文件上传漏洞攻击手法：信息收集（目录枚举）凭证窃取（通过漏洞获取管理员账号）后门植入（文件上传）持久化（多后门植入）后门技术：多层混淆（Base64+Gzip+动态变量）免杀设计密码动态生成挖矿软件传播：无痕植入技术日志清理防御建议 CMS安全：及时更新CMS及插件禁用不必要的功能（如短文件名支持）加强后台认证（双因素认证）系统安全：定期审计用户账户监控异常进程限制文件上传功能日志管理：延长日志保留周期集中式日志管理实时日志监控后门检测：使用多层检测工具定期文件完整性检查部署行为分析系统应急响应：建立完整的事件响应流程保留系统镜像用于取证全面分析攻击路径工具与资源案例中提到的后门样本和分析脚本： https://github.com/tide-emergency/php- 推荐检测工具： D盾河马查杀安全狗附录：后门分析技术详解 5678.php分析步骤详解初始代码观察：解码过程：动态密码生成分析：完整还原技术：通过逐步替换eval为echo 动态跟踪变量赋值过程最终提取出核心功能代码免杀木马技术要点编码混淆：多层编码转换非常规编码组合动态执行：使用变量函数调用运行时生成关键代码环境检测：可能包含反调试代码环境适应性执行通过本案例的详细分析，安全人员可以深入了解现代Web攻击的手法和后门技术，提升应急响应和威胁检测能力。