记一次业务安全的应急响应

--前言--

由于保密原因，部分敏感的图片就不放了，有些放些假图，只是分享一下分析的过程，毕竟过程才是重要的，希望能有所得，无论从应急还是渗透方面。

--应急背景--

某学习论坛被人“灌水”了，各种垃圾帖子、言论，se情链接……。听到这个消息，旁边的大佬有点不淡定了，居然被 “灌水”。我有点不淡定了，这边没有职业道德的黑客，居然在学习区放se情链接和图片~居然敢“侮辱”祖国的花朵~

--分析过程--

一般这种灌贴无外乎几个原因：

被“黑产”（真正的黑产或者竞争对手）用猫池批量注册新用户，新用户还有发帖，评论的权限。

账号密码泄露。无论是SQL注入漏洞也好，用户名密码可爆破也罢，或是人工导致的密码泄露等。很多漏洞都可以造成黑产获取到用户。

论坛发帖、评论存在CSRF、XSS等漏洞，利用用户浏览或点击，造成“蠕虫攻击”。

大佬们想到别的，也可以一起交流

分析新注册用户

一般灌水都是利用新注册用户来操作，所有先查新注册用户，不查不知道，一查吓一跳，被灌水几个小时前，1000多个用户被注册了

与论坛帖子和评论一对比，果然，就是这些僵尸用户。

事情就这么完了？哪有这么简单

根据管理员反映，新注册用户一天只有发一帖和5个评论的权限。那这么多的评论和帖子，1000多个用户根本不够。到数据库去查，发现很多老用户在前几个小时频繁发帖。（一天可以发50-100个帖子，这权限有点高啊）。苍天啊，不会数据库信息泄露了吧？心里一惊！

（内心有点虚，不是怕系统有漏洞，而是怕没有日志。以前遇到过啥都不懂的运维，被坑怕了，不针对运维，针对不负责的运维）

寻找系统漏洞

果然，一查，没有数据库操作日志，数据库做了什么操作，压根不知道。并且Mysql数据库只记录了本地登陆的IP，数据库只允许本地访问，不存在数据库被登陆获取数据了。那就看看日志是不是SQL注入之类的。

查看apache web访问日志

进行日志分析，并没有发现sql注入的迹象。进入论坛抓了几个包，发现是Discuz论坛，请求的参数都是以POST方式提交的，这让我怎么确定是不是sql注入（干过运维或者应急的都比较清楚，一般apache日志记录格式是“请求方式 目录http协议类型 返回状态码”）。

行吧，那就看看是不是账户被爆破吧~换条路走，大佬抓包一测，发现没有爆破的机会，5次就爆破就提示“访问次数太多，请稍后重试！”。大佬可能刚忙太久了（开始一直他在分析），脑子晕了，没有注意到刚我们进行日志分析的时候有个目录一直被访问-“/login/index”（登录页面的目录）。作为信息安全的男人，怎么能轻易认输。第一次反驳大佬：我来试试。

使用用户名进行爆破，发现还是不行（内心是尴尬的）。突然，灵光一闪，绑定的邮箱或手机号也是用户名，果然，手机号可以爆破。

虽然发现存在了这个漏洞，但不能定性此次灌水的老用户就是跟这个漏洞有关。好在内部的用户管理系统会记住上次登录的时间和IP，找了好些老用户登录的IP，都是那几个IP（估计是代理），和apache出现大量“/login/index”目录对应的源IP，发现也是那几个IP。再把所有发送了垃圾帖子和评论的老用户登录的源IP进行对比，也是这几个IP。可确定灌水和 “暴力破解密码”漏洞有关（还有新注册用户）。

后续当然也进行了别的排查，是否存在蠕虫攻击。确实存在CSRF和Discuz的存储型XSS，但经过筛选日志，没发现有关联。

有些人肯定在想，溯源啊！！！还是交给警察吧~

第一，没必要耗费这么多精力和金钱。（从盈利收支来说不值得）

第二,没这个能力，别人用代理了，还是国外的。还不知道是几层代理。没这个权利查别人啊

--防护建议--

针对这种论坛“灌水”的防护建议，总的来说，就是增加攻击成本和减低权限。列出几条：

新用户和老用户的权限要分开，降至最低，评论权限，发帖权限等。

管理后台什么的一定不要允许外网访问，或者只允许固定的几个IP访问，且必须是强密码。

检查和修复系统漏洞，防止由于漏洞（包含运维引起的漏洞）导致的灌水。

增加攻击成本。以金字塔模型构建用户等级、权限体系（比如tools就做的很不错）；使用猫池检测，在线情报等免费或收费的产品进行恶意用户识别。

写的不好，还希望大家评判指正！

Share it with you！！！