(一)阻断恶意软件扩散,进行断网处理
隔离与公网的连接
备份关键文件
二,web层排查:定位恶意软件上传路径与入口
(1)排查恶意软件文件的位置
命令:按修改时间进行排查使用find / -mtime -7-name ".jsp" -o -name ".php"
表示 寻找七天内进行修改的文件后缀为.jsp和.php的文件
按文件内容进行排查:
grep -r “eval()”/path/to/webapps
重点排查目录:
tomcat的webapps/ROOT/ (应用根目录)
temp/ 临时文件目录
work/ JSP编译后的class文件目录
(2)分析tomcat的访问日志根路径
安装路径的logs的access.log
使用 grep "/upload/shell.jsp" access.log 显示访问过upload/shell.jsp的日志 将upload/shell.jsp 替换成真实恶意文
件的目录。
grep "POST /api/upload" access.log | grep -v "200" # 过滤非200状态码的异常请求(可能包含上传失败但尝试的记录)
记录异常请求的ip,请求路径, user-agent(可能暴露攻击工具的特征)
(3)检查web应用漏洞,确认上传入口
使用burpsuite或者ez工具对系统进行扫描测试,排查是否存在文件上传等漏洞
(三)攻击溯源:追踪攻击者的路径与手法
(1)定位攻击者的ip以及身份
若服务器前端有 CDN 或反向代理,需通过 X-Forwarded-For 或 X-Real-IP 头获取真实 IP(Tomcat 访问日志若未记录,可查看代理服务器日志,如 Nginx 的 access.log)。
• 命令:grep "POST /api/upload" access.log | awk '{print $1, $12}'($1为代理IP,$12 可能为 X-Forwarded-For 头,具体取决于日志格式)。
ip溯源通过微步在线平台
(2)分析攻击者的行为·
结合系统日志和tomcat日志,还原攻击步骤
登录行为排查:
查看服务器SSH登录日志
日志路径为/var/log/auth.log和/var/log/secure
查看web应用后台登录日志,查看是否有异常账号
(3)检测tomcat自身的漏洞
查看是否有配置缺陷或者未修复的漏洞
(4)检测系统层异常
攻击者上传恶意软件后可能进一步提权或者持久化
查看计划任务 crontab -l 或者/etc/cron.d
检查启动项 ls /etc/init.d
检查网络连接 netstat -ano
(四)输出排查报告和修复建议
记录恶意文件路径,上传接口,攻击者ip,利用的漏洞
清除恶意文件后,重启tomcat验证是否彻底删除
修复漏洞
加固防护,部署绿盟防火墙,并定期备份web目录和日志