安全-HVV防守事记

Posted 2021-12-29 小狐狸FM

文章目录

• 前言
• 攻防前两天
• 攻防前一天
• 攻防第一天
• 攻防第二天
• 攻防第三天
• 攻防第四天
• 攻防第五天

前言

信息比较敏感就不放图片和防守方具体的信息了，只写文字记录一下。
第一次打攻防，是某学校的防守方，学校的网络部署有些乱。
IPS、APT比较好用一些
APT只能监控不能阻断流量，可以检测到内网和外网的攻击流量
IPS主要用来阻断流量和-封禁IP，只能看见外网对内网的攻击，
WAF可以阻断流量封禁IP，但是检测很鸡肋
堡垒机，主要被来控制服务器，可以远程进入服务器，不是我在操控

人员组成: 3~4人
攻防时间： 5天
安全设备： WAF（WEB防火墙）、IPS（入侵防御）和APT（态势感知）、堡垒机

攻防前两天

提前了两天过去现场进行摸排
发现了天蝎木马sky.php在远控一个服务器，使用天蝎连接对应的木马成功连接
连上去后是一堆的乱码，输入命令可以返回乱码的内容

域名指向的服务器IP需要找厂商进行确认，到结束了还是没找到那个服务器是哪个。
剩下的时间都在进行外网的资产收集

攻防前一天

在APT上发现了一个天蝎马conn.php，使用天蝎同样可以连上去。
在APT上看见流量的HTTP状态码200，对方成功连接了木马。

在APT上又发现了一个木马plug2.php连接上去了一个OA系统
使用堡垒机登录了对应的OA服务器后，根据APT里的流量，到了木马连接的路径下
查看木马内容后发现了几个字: edgnb
发现了有很多的plug1.php、plug.php等等的测试木马，删掉木马的同时攻击者又传了好几个马
然后我们就边删他还边传马，保存了木马和截图
根据流量包找到了上传的接口，把含有对应上传功能的php也保存了，但是被OA加密过了

运维增加了安全策略，隔离了被远控的两个服务器。
写了一下OA系统的溯源报告

上午进行外网的资产收集，下午进行漏洞扫描，大佬提交了一个内网扫描的报告。
在收集资产时，发现内网有一个网络空间安全协会的网站对外开放，而且不在上交资产表中。
隔离了网络空间安全协会的网站。

攻防第一天

运维增加了安全策略，只允许了大陆的IP访问学校网站
同时无法访问除大陆以外的网站

12点多在APT设备上发现有HTTP弱密码连接，查看了一下流量
使用了一个testhv的账户登录学校的学报网站，访问该网站发现可以在线注册账户
立马就在IPS上隔离了该学报网站，但是晚上被通报了学报系统和另一个系统被攻陷了。

14点40分左右在IPS设备上发现了哥斯拉木马的连接告警，有许多条连接请求都通过了
当下就封禁了两三个对应的攻击IP，在APT设备和WAF设备上都没有发现任何的哥斯拉流量威胁日志

因为使用了nginx反向代理，那个代理设备使用了公网的IP，而且是位于安全设备以外
所以在IPS上面只能检测到那个反向代理的服务器的IP地址

最致命的是IPS上只能看到威胁报警，无法看流量，流量包信息只能在APT或WAF上看
而且IPS不能封禁反向代理的服务器，一封禁就会影响到正常业务，所以只能看着服务器被攻击

15点05分左右在IPS上发现一台10.x.x.160内网服务器开始对其他的内网服务器进行漏洞探测
发现了问题后就对该主机进行了断网隔离，之后还发现了一台172.x.x.x开头的内网主机开始扫描永恒之蓝漏洞
然后又对172.x.x.x的内网主机进行隔离，后来发现分数被扣了

在10.x.x.160服务器被隔离之后，使用堡垒机登录上去，发现服务器没有装任何的杀软
安装了D盾和火绒后进行木马查杀，在一个目录下发现了一个ss.exe远控木马

晚上使用学校的vpn连接安全设备，有一些攻击流量在远程连接，当即进行封禁处理。

攻防第二天

早上使用堡垒机登录了大多数的windows设备，安装了火绒并查杀，未发现问题

流量稍微变少了，修改了一下WAF和IPS上对应的检测特征，调高了安全等级
之前有很多高危的攻击请求没有被阻断，现已修改成阻断且封禁其IP到动态黑名单（中危5分钟、高危30分钟）

下午运维发现可以登录上Nginx反向代理的服务器来查看web日志，还没去溯源
优先在服务器安装杀软扫描木马，linux服务器上使用河马进行查杀

晚上发现还是有外网的IP在漏洞扫描，有一些已经被IPS动态封禁了，剩下的是手动封禁

攻防第三天

上午开始对12月1日的10.x.x.160服务器攻击进行溯源，另一个被攻陷的系统还是不知道为什么被攻陷

17点30多分发现内网的172.x.x.x的几台主机在对10.x.x.x服务器网段进行msf 17-010永恒之蓝漏洞检测
172网段属于内网中学生和老师使用的办公网，防护设备没法监控到
而且IPS上封禁了对应的IP无效果，运维就登录到了核心交换机让172网段无法访问服务器网段
推测是172网段的学生或老师的主机已经被钓鱼攻陷，172网段已经不可信了

晚上看分数时又被扣掉了一些分数
运维建议剩下的两天我们不要同时去学校，他先过去学校，我们再过去
在他路途中，我们两个使用vpn连接安全设备进行监控

攻防第四天

又来了一个运维来帮忙监控，早上的攻击流量很少

下午在IPS设备上发现了一些IP正在攻击一个一卡通网站
14点多一直在利用fastjson漏洞检测一卡通网站，都被IPS阻断并封禁
运维排查后发现一卡通2到3个外网IP，我们只能够拦截到其中的一个

16点多发现被扣了几千分，还有Apache Shiro漏洞流量在继续攻击一卡通

攻防第五天

继续远程vpn连接安全设备进行监控，将之前IPS上的动态黑名单里的IP手动设置成了无期限封禁

10点多APT设备上发现了172.x.x.x财务处的服务器开始横向攻击10.x.x.x的OA系统，之前没有检测到外网IP攻击财务处的流量，登录了源服务器进行排查

11点在APT上发现172.x.x.13在横向172.x.x.127，将两者都进行了隔离
11点20分之后攻击流量减少，12点结束攻防