NFS 服务引发的一次“诡异”应急响应
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
登录服务器出现异常命令执行警报,调查发现攻击者通过上传漏洞将WebShell写入共享目录,导致命令在登录服务器上执行。最终确认NFS共享挂载扩大了攻击面,影响多个独立系统。
🎯
关键要点
- 登录服务器出现异常命令执行告警,怀疑是JSP WebShell被执行。
- 通过访问日志发现可疑的JSP文件,确认WebShell被触发。
- 调查发现WebShell是通过上传漏洞被上传到服务器的。
- 确认upload服务存在严重漏洞,允许直接上传JSP文件。
- Nginx配置验证了upload和login服务之间的流量转发关系。
- 在upload服务器上发现WebShell并进行了清理,但login服务器没有发现WebShell。
- 调查发现upload和login服务器通过NFS共享同一网络存储路径。
- 攻击者利用upload服务的漏洞上传WebShell,随后在login服务器上执行命令。
- NFS的存在导致WebShell的删除操作同步到login服务器,造成排查困难。
- 事件揭示了共享存储引发的攻击面扩大问题,影响了多个独立系统。
❓
延伸问答
NFS服务如何导致攻击面扩大?
NFS服务通过共享存储使得攻击者上传的WebShell文件在多个服务器上实时同步,导致攻击影响扩散到看似独立的系统。
攻击者是如何利用上传漏洞的?
攻击者通过upload服务的严重漏洞,直接上传了JSP文件作为WebShell,随后在login服务器上执行命令。
在调查中发现了哪些关键证据?
调查中发现了可疑的JSP文件访问记录和upload服务的漏洞,确认了WebShell的上传和执行路径。
为什么在login服务器上找不到WebShell?
因为在upload服务器上删除了WebShell后,该删除操作通过NFS同步到了login服务器,导致无法找到该文件。
事件中使用了哪些技术手段进行排查?
使用了访问日志分析、Nginx配置检查和服务器底层挂载配置审查等技术手段进行排查。
这次事件对网络安全有什么启示?
事件揭示了共享存储可能引发的安全风险,强调了在系统架构设计中考虑攻击面扩大的重要性。
➡️
