某大型涉军平台威胁响应案例

★前言★

Forword

涉军网站论坛，作为一种全新的媒体，已经通过其全面的政策发布、充分的信息共享获得越来越多的关注和应用，成为在役军人、军转人员的网上家园和精神家园，维系着深厚的部队情和战友情，是维护这一特定群体稳定的重要纽带。在八一建军节之际，我们将分享发生在国内某著名涉军平台的真实信息安全事件，介绍端御科技如何运用自身的大数据技术进行威胁溯源及攻克最具挑战的信息安全难题。

01 背景

每当听到歌曲《答案》中“晴空万里突然暴风雨”这句歌词，就想起最近我公司安全响应团队接到的一个遭受DDOS攻击的威胁响应事件。国内某知名涉军平台在长达半年之久的时间内，不断遭到大流量的DDOS攻击，根据客户所在的高防护机房流量统计该DDOS峰值可达500Gbps，在每次DDOS爆发的几分钟内整个高防机房也最终被流量打瘫，极大的影响了整个涉军平台120万用户（基本为在役和专业军人）的交流和转业安置信息获取，造成了一定的不稳定因素。

平台运维团队也曾邀请了一些安全团队帮忙解决相关问题，在半年的时间内尝试使用了各种防DDOS攻击的软硬件安全设备，都没有得到有效的帮助。由于运维团队本身也是由情怀支撑的公益性团队，并没有足够的经费使用公有云防DDOS的模式（使用公有云在遭受DDOS攻击时，会使用流量清洗、CDN节点分流等方式，其开销是很高的），所以在长达半年的时间里饱受DDOS攻击摧残，辗转多地换了数个高防机房，服务器每天被打瘫数次，几乎不能给广大的涉军群体提供正常的服务，遭受了很大的压力，几近崩溃。

在这样的背景下，端御科技安全团队临危受命，接受了这个几乎不可能解决的挑战。经客户授权，我们在获取服务器权限后，就马上开始了威胁响应工作。

02 威胁响应详情

★初期判断

首先根据客户提供的nginx日志，用区域聚类的方式进行了初步分析：

可以看到Web访问情况和网站客户是高度重合的，所以我们初步判断nginx的日志里的IP应该不是DDOS的主要攻击源。

★守株待兔

随后我们与客户服务器所托管的高防机房进行了沟通，但限于机房条件无法取得DDOS攻击时刻的netflow日志，所以我们只能在服务器上设计了一套方案，进行DDOS流量抓取。基于Web日志的分析，我们认为攻击来自非web请求，我们对非web请求的数据包进行了抓取。根据客户通报的DDOS攻击规律，我们在次日凌晨成功抓取了几秒的峰值DDOS攻击，抓到的数据达12.7G大小。通过聚类分析得到如下几个结果：

IP统计图：

★DDOS攻击分析

可以非常清晰的发现，101.71.*.*（非本机ip，是伪造的ip源）这个IP在几秒的时间里发送的1.2亿个SYN包，是这次DDOS的罪魁祸首，其随机发送到外部224.0.0.0-238.255.255.255的组播地址段，在组播地址段内的存活主机响应这个SYN包就会反射一个包回服务器所在机房（因为这个IP是机房的预留ip，路由表是做到该机房的），放大了数万倍的回应流量峰值可以达到数百G，最终阻塞了机房的流量。随后我们通过机房拿到其防火墙记录的流量日志进行对比，确实也符合脉冲型逐级递减的反射模型：

至此我们判断DDOS的大部分流量是由入侵者在本机发起的DRDOS攻击，我们只要清除了入侵者，就能阻止DDOS的后续发生。

★攻击还原及清除威胁

我们通过日志分析定位了攻击者的攻击路径，发现了有攻击者请求了文件

/backup/web/config/config_global.php.bak,

该文件为核心配置文件的备份文件，该文件通过访问url：

http://*.com/config/config_global.php.bak

直接获得。该文件中包含了服务器mysql的root账号和密码，并且该服务器3306对外开放了访问。攻击者可以很轻易的通过获得的账号发起进一步的攻击。且该客户使用的mysql版本为5.7.x低于5.7.15，存在提权漏洞。

Crontab后门

通过日志排查，我们发现计划任务/var/log/cron中有www用户权限的后门程序。

cat /etc/spool/cron/www

看起来很正常没有任何计划任务。但是我们通过vi打开该文件

可以看到里面有一句话后门，由于使用了^M和^@两个特殊字符导致无法正常读取。该后门会每隔5分钟通过/bin/bash建立一个cmdshell的管道连接到远程地址count.*.org的tcp端口21266上。只要入侵者在count.*.org的21266端口监听一个nc就能拿到一个本服务器的cmdshell，权限为www的权限，该后门是一个隐蔽性很高的后门。

我们对该ip进行了抓包监控，在随后的一段时间里发现该ip未有新的数据和本服务器交互，其21266端口也一直处于关闭状态：

我们查询了该域名的相关whois信息：

属于境外域名提供商提供的免费域名，目前该ip只开放了22端口我们无进一步信息。

03 排查结果

❶DDOS是由入侵者在本机发起的DRDOS攻击；

❷攻击者通过脆弱的web和mysql配置获取了核心敏感信息并完成了进一步入侵；

❸系统被植入隐蔽后门，攻击者通过后门接入系统发起攻击。

04 安全解决方案

❶修复错误的配置：删除

❷修改服务器所有账户：修改系统账户、mysql账户等账户的口令；

❸ 升级存在问题的软件版本：升级mysql到5.7.17；

❹删除后门定时任务：删除crontab内容里的后门代码。

05 后记

“时光如水、总是无言。你若安好，便是晴天”，经历了这场风雨的冲击，涉军平台又恢复了往日的繁华和宁静，看着为国家的安定繁荣付出了青春的军人群体又找回了心灵家园，我们心中感到由衷的欣慰——我们的家园有你们守护，保卫你们的“家园”我们义不容辞。

极矛之端铸盾之御

渗透测试 / 威胁响应 / APT防御 /

物联网安全 / 区块链安全