酒仙桥六号部队：2020年内网失陷应急响应记

本文档《[酒仙桥六号部队] - 2020-12-15 记一次内网失陷的应急响应》详细记录了一次真实的网络安全事件应急响应过程。事件发生在一家公司的内网，客户发现十几台服务器遭受攻击，包括反弹shell和webshell的入侵。以下是文档中的关键知识点： 1. **事件背景**：事件发生时，正值工作人员准备下班，突然接到紧急通知，需要迅速处理一台新上线的态势感知设备检测到的内网安全问题。 2. **应急响应步骤**： - **隔离与封禁**：首先建议客户隔离受影响的服务器，以防止攻击扩散，并封禁了恶意IP地址。 - **日志分析**：通过检查反弹shell服务器的日志，发现最早入侵时间为7月2日2点35分，攻击可能源于一个存在CVE-2017-7504等反序列化漏洞的Jboss 4.0.5.GA版本。 - **追踪线索**：由于Jboss默认不开启access日志，导致难以找到攻击者的完整路径，仅发现密码搜集活动。 - **转向webshell服务器**：在另一台服务器上，发现大量爆破登录尝试的痕迹，追踪到攻击者使用的IP 172.x.x.160，这是一个主域控服务器。 - **深入调查**：在主域控服务器上发现了frpc（内网穿透工具），并通过frpc.ini配置找到了攻击者设置的外网IP 47.x.x.119。 - **发现shellcode**：还发现了一个名为"help[1].xls"的文件，其中包含shellcode加载器，与powersct.sct类似，进一步分析了攻击手段。 3. **后续行动**：将这些发现报告给了后端团队，以便他们能对这些威胁进行更深入的分析和防护。 这篇文档提供了一次实际应急响应案例，展示了如何通过细致的日志分析和追踪，识别出攻击者的手法，以及采取相应的隔离措施来保护内网安全。同时，它也强调了定期更新和监控系统安全补丁的重要性，以及保持日志记录的完整性对于追踪潜在威胁的价值。