国产福利一二超碰主页,成人影片黄色A片

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

記編輯器漏洞引發(fā)的應(yīng)急處理

本文轉(zhuǎn)載自微信公眾號「Bypass」，作者Bypass。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。

作為一個網(wǎng)站管理員，你沒發(fā)現(xiàn)的漏洞，你的對手卻幫你找到了，并在你的網(wǎng)站里留下了Webshell。這個時候?qū)咕烷_始了，找出漏洞根源，捕獲攻擊者，贏下這場對抗，這個過程本身就挺有意思的。

接到云安全中心安全預(yù)警，發(fā)現(xiàn)后門(Webshell)文件，申請服務(wù)器臨時管理權(quán)限，登錄服務(wù)器進行排查。

(1) 確認Webshell

進入網(wǎng)站目錄，找到木馬文件路徑，確認為Webshell。應(yīng)急處理：通過禁止動態(tài)腳本在上傳目錄的運行權(quán)限，使webshell無法成功執(zhí)行。

(2) 定位后門文件上傳時間

根據(jù)Webshell文件創(chuàng)建時間，2020年3月9日 15:08:34 。

(3) Web訪問日志分析

PS：由于，IIS日志時間與系統(tǒng)時間相差8小時，系統(tǒng)時間是15:08，這里我們需要查看的是 7:08的日志時間。

找到對應(yīng)的Web訪問日志，在文件創(chuàng)建時間間隔里，我們會注意到這樣一個ueditor的訪問請求，初步懷疑可能與UEditor編輯器漏洞有關(guān)。

(4) 漏洞復(fù)現(xiàn)

以 UEditor編輯器文件上傳漏洞作為關(guān)鍵字進行搜索，很快我們就在網(wǎng)絡(luò)上找到了poc。接下來，我們來嘗試進行漏洞復(fù)現(xiàn)。

A、本地構(gòu)建一個html

B、上傳webshell

C、登錄服務(wù)器確認文件

經(jīng)漏洞復(fù)現(xiàn)，確認網(wǎng)站存在UEditor編輯器任意文件上傳漏洞。

(5) 溯源分析

通過日志分析，定位到了攻擊者的IP地址，對這個IP相關(guān)文件的訪問記錄進行跟蹤，可以還原攻擊者行為。攻擊者首先訪問了網(wǎng)站首頁，然后目錄掃描找到UEditor編輯器路徑，通過任意文件上傳漏洞成功上傳webshell。

名稱欄目：記編輯器漏洞引發(fā)的應(yīng)急處理
文章出自：http://www.5511xx.com/article/cocpihg.html