背景介绍:
近日,安恒风暴中心研究人员发现,从2018年3月4日开始出现了对phpcms V9.6任意文件上传漏洞的密集攻击与利用。该漏洞为2017年爆发的0day漏洞,时隔一年之后,再次出现大规模的攻击,疑似为团伙有组织的攻击行为,如被攻击成功,则可获得网站的后台权限,需要引起注意。
【漏洞背景:在2017年4月份,phpcms V9.6的任意文件上传漏洞被揭露,该漏洞是在网站注册模块中,利用img标签读取远程文件地址并解析执行,因此该系统可在未被授权的情况下上传任意文件,包括任意getshell 的脚本。】
攻击行为分析
单日攻击IP分析
通过对玄武盾中海量的攻击日志进行关联聚合,分析发现该漏洞在2017年就有了攻击痕迹,之后一直没有出现较大规模的攻击,但是在2018年3月4日开始至今出现了每日数千个IP的攻击,攻击次数激增,单日的被攻击网站数量超过2千个,以下是某日的攻击IP排行:
攻击IP | 攻击网站 | IP区域 |
---|---|---|
180.76.243.234 | 1149 | 中国 |
39.107.127.148 | 630 | 中国 |
180.76.57.101 | 612 | 中国 |
180.76.245.180 | 567 | 中国 |
35.186.183.218 | 401 | 美国 |
攻击IP源广泛分布境内和境外各区域:
区域 | 攻击IP数量 |
---|---|
美国 | 375 |
中国 | 141 |
日本 | 45 |
韩国 | 39 |
英国 | 35 |
攻击时段追踪分析
对发起该类攻击的IP进行追踪,分析发现在2018年3月4日到2018年03月29日期间,每天都有相同的IP群体在发起对该漏洞的攻击,以下每日攻击IP追踪的数据表中,标识为红色的IP,即为发起攻击行为超过2天以上的IP,可见这段时间内有群体在利用该漏洞进行扫描探测,企图获取网站主机权限。
图3-14到3-28 每日攻击IP排行(红色标注为重复出现攻击IP)
在对单日攻击量TOP20的IP分析中,发现2018年3月4日到2018年03月28日期间(共25日),有10个IP的活跃度在10日以上。这批IP信息如下:
IP | 区域 | 历史攻击目标(包括其他攻击类型) | 活跃日期 |
---|---|---|---|
111.206.52.66 | 中国北京 | 219(2017-02) | 15 |
111.206.59.141 | 中国北京 | 120(2017-11) | 13 |
180.76.57.101 | 中国北京 | 2020(2018-03) | 13 |
36.110.211.108 | 中国北京 | 252(2017-02) | 13 |
36.110.211.109 | 中国北京 | 266(2017-02) | 13 |
36.110.211.41 | 中国北京 | 277(2017-02) | 13 |
36.110.211.42 | 中国北京 | 254(2017-02) | 13 |
36.110.211.43 | 中国北京 | 271(2017-02) | 12 |
180.76.250.202 | 中国北京 | 1651(2018-03) | 11 |
180.76.245.180 | 中国北京 | 1779(2018-03) | 10 |
对上述攻击IP进行威胁分析情况如下:
攻击目标分析
对本次被攻击的目标群体进行分析,发现攻击目标范围非常广,涉及我国一些重要行业,包括教育、新闻、政府等多类站点,这类行业目标疑似与境外知名的反共黑客组织目标一致,但并没有确切证据证明两者存在关系。
总结:
这一波针对phpcms v9.6的任意文件上传漏洞的攻击和利用,依据攻击的时段密集性和攻击IP的重复利用情况,可知不是随机攻击行为,而是有团伙在发起有组织的漏洞探测和利用攻击,目前这些大规模攻击均已被玄武盾全面检测并防护,攻击IP已被智能识别进入黑名单,有效保护了用户站点的安全。在此提醒未采取安全防护措施的网站运营单位以及相关网络监管单位,需要对该漏洞利用事件进行持续地关注,以防发生如反共黑客组织入侵、篡改等严重事件,如有安全防护需要,可随时联系24小时风暴中心服务电话 4006059110。