记一次CVE漏洞检测过程

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次CVE漏洞检测过程相关的知识,希望对你有一定的参考价值。

今天对安全防御设备进行安全检查时,发现了中午某一时间段存在有大量攻击,次数600多次

技术分享

查看下攻击源IP为当前局域网(如果是外网设备一定是攻击行为,需要进行黑名单处理)

技术分享

不清楚是人工还是认为的爆破,所以我对其进行了一番调查

首先使用了nmap进行指纹探测,发现其存在大量端口开放,且服务器为windows2008

技术分享

既然是winserver的 那应该不是人为了,难道这台机器被人攻击了?(不仅是外网机器,当然内网机器也是有可能被攻击过的)

我使用了nse脚本对其进行了漏洞探测:

 技术分享

技术分享

发现多个端口运行了IIS7 且存在cve漏洞

查询了下这个CVE编号,直接google  cve-2015-1635

看来这个是严重的微软已知漏洞

技术分享

  exp-db上已经有可exp检测代码了

技术分享

 

汇报完毕,我就没有进一步去验证了,毕竟是攻击行为

剩下的交给运维去处理这台winserver主机了,可能需要打补丁(不仅公网机器需要打补丁,包括这些在内网的也是要打补丁的啊), 至于这台机器为啥会狂发攻击包,还有待查明

 

以上是关于记一次CVE漏洞检测过程的主要内容,如果未能解决你的问题,请参考以下文章

WebLogic中WLS 组件漏洞(CVE-2017-10271)专项检测工具

记一次漏洞挖掘网络安全

Git任意代码执行漏洞检测与修复(CVE-2018-11235)

CVE-2020-0796 漏洞的检测及修复

Ladon批量检测漏洞 SMBGhost CVE-2020-0796

Ladon批量检测漏洞 SMBGhost CVE-2020-0796