本文轉(zhuǎn)載自微信公眾號「Bypass」，作者Bypass。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。

作為一個網(wǎng)站管理員，你沒發(fā)現(xiàn)的漏洞，你的對手卻幫你找到了，并在你的網(wǎng)站里留下了Webshell。這個時候?qū)咕烷_始了，找出漏洞根源，捕獲攻擊者，贏下這場對抗，這個過程本身就挺有意思的。

1. 事件起因

接到云安全中心安全預(yù)警，發(fā)現(xiàn)后門(Webshell)文件，申請服務(wù)器臨時管理權(quán)限，登錄服務(wù)器進行排查。

2. 事件分析

(1) 確認Webshell

進入網(wǎng)站目錄，找到木馬文件路徑，確認為Webshell。應(yīng)急處理：通過禁止動態(tài)腳本在上傳目錄的運行權(quán)限，使webshell無法成功執(zhí)行。

(2) 定位后門文件上傳時間

根據(jù)Webshell文件創(chuàng)建時間，2020年3月9日 15:08:34 。

(3) Web訪問日志分析

PS：由于，IIS日志時間與系統(tǒng)時間相差8小時，系統(tǒng)時間是15:08，這里我們需要查看的是 7:08的日志時間。

找到對應(yīng)的Web訪問日志，在文件創(chuàng)建時間間隔里，我們會注意到這樣一個ueditor的訪問請求，初步懷疑可能與UEditor編輯器漏洞有關(guān)。

(4) 漏洞復(fù)現(xiàn)

以 UEditor編輯器 文件上傳漏洞作為關(guān)鍵字進行搜索，很快我們就在網(wǎng)絡(luò)上找到了poc。接下來，我們來嘗試進行漏洞復(fù)現(xiàn)。

A、本地構(gòu)建一個html

B、上傳webshell

C、登錄服務(wù)器確認文件

經(jīng)漏洞復(fù)現(xiàn)，確認網(wǎng)站存在UEditor編輯器任意文件上傳漏洞。

(5) 溯源分析

通過日志分析，定位到了攻擊者的IP地址，對這個IP相關(guān)文件的訪問記錄進行跟蹤，可以還原攻擊者行為。攻擊者首先訪問了網(wǎng)站首頁，然后目錄掃描找到UEditor編輯器路徑，通過任意文件上傳漏洞成功上傳webshell。

3. 事件處理

• 檢查網(wǎng)站上傳目錄存在的可疑文件，清除Webshell。
• 通過分析復(fù)現(xiàn)確認編輯器存在任意文件上傳，需及時進行代碼修復(fù)。