【IT168 案例】

　　一个案例

　　2014年11月，在某部委职能部门，发生了这样一个事情。该部门有一个重要的服务网站，对公众提供信息查询和业务办理，每天的访问量超过百万。11月的一天，网站运维人员发现网站的文件目录下多了一个未知文件，怀疑网站遭到了攻击，但是没有发现其他线索，网站本身也没有记录到任何被攻击日志。

　　巧合的是，几个月前，启明星辰发布了新产品——天玥业务审计系统，可以通过分析网络流量来监控针对业务系统的访问行为，业务部门正在使用此产品。于是，该运维人员联系到启明星辰安全专家，一起到业务审计系统上查看，试图发现一些蛛丝马迹。不看不知道，一看吓一跳，原来网站存在Struts2漏洞，被黑客利用，差一点就酿成严重后果。

　　分析过程是这样的：

　　用户提供初始线索：未知文件名为system.jsp;

　　攻击过程定位和溯源

　　天玥业务审计系统的日志详细记录了相关操作的源IP、账号、请求内容(URL、POST数据、Cookie等)、页面返回内容等信息，这给定位和取证工作提供了方便。在日志中查询URL、Cookie或Post数据字段包含system.jsp关键字的日志，如下：

▲

　　经过检索，定位操作源IP为：171.113.131.19，继续追查源IP为171.113.131.19的所有操作日志，发现此IP对网站首次访问的时间为：2014-11-10 15:05:22，其执行过的操作和网站的返回内容被审计系统完整记录了下来：

▲

　　攻击者通过访问URL：http://****/OSVisa/register/login.action，以Post方式进行webshell文件的上传，然后利用此文件进行了一系列的攻击操作。

　　通过审计日志逐条分析可以看到：system.jsp是一个jsp木马文件(俗称webshell)，攻击者上传此文件后，在2014-11-10 15:06:44，第一次用get方式调用这个webshell，审计日志中可以看到网站提示500错误(服务器执行webshell内部错误)，页面返回内容中可以看到此木马调用了struts2的方法。后续攻击者又进行了文件下载等尝试。

　　漏洞验证和补救

　　手工登录访问：http://****/OSVisa/register/login.action，发现这是一个登录页面，没有任何文件上传的功能界面。初步分析，黑客应该利用某个漏洞上传了文件。结合上文审计日志获取的页面返回内容，可判断网站可能存在struts2漏洞。

　　借助启明星辰struts2漏洞测试工具，安全专家成功验证用户网站存在struts2漏洞，漏洞官方编号为：2013 S2-019，此漏洞可以直接远程执行命令，上传文件等。

　　至此，在天玥业务审计系统这个专业的“照妖镜”面前，本次基于Struts2漏洞的Webshell攻击过程原形毕露。运维人员也惊出一身冷汗，幸亏发现及时，没有造成太大的损失。根据业务审计日志提供的线索和依据，管理员立即修复此网站漏洞，清除了攻击者增加的账号、文件等内容，阻止了进一步的破坏。

　　业务审计结合WAF——网站安全防范的有效手段

　　随着电子商务、电子政务的发展，各企业、政府机构的对外服务网站访问量和重要性越来越高，在提升工作效率、方便大众的同时，也面临着越来越多的信息安全考验，因网站漏洞导致企业或者个人信息泄露，站点被攻击至无法服务的案例比比皆是。虽然入侵防护、防篡改等手段越来越多的被采纳，因攻击和防护的在时间上的不对称性，仍然无法保证网站的绝对安全。特别是针对网站的Webshell攻击，因其手段隐蔽，不会在系统日志中留下记录，管理员很难及时发现。如何有效预防此类攻击?当攻击事件发生后，如何清点战场、发现弱点和及时止损?上面这个案例有很好的参考价值。

　　从该案例可以看到，做为信息安全领域的新兴产品，基于业务流量分析的业务审计系统，在异常分析、攻击取证、现场还原上，起到了至关重要的作用。不仅弥补了业务系统本身日志线索不足的缺点，其做为第三方产品的独立性也使得取证工作更加客观准确。

　　除此之外，还要加强对web服务器的事前防护。推荐在网站入口在线部署Web应用防火墙(WAF)，在平行位置旁路部署业务审计系统。一旦WAF发现攻击的蛛丝马迹，则可通过业务审计进行进一步的上下文分析，及时定位信息资产损失，发现更多的安全线索;反之，当分析业务审计日志，发现某账号或者IP存在异常行为(无攻击特征的异常操作)，则可反馈给WAF，通过提高防护级别和增强防护策略来进行重点防御。业务审计与WAF的有机结合，形成针对网站安全的事前+事中+事后的全过程防护方案，可有效保障网站的安全稳定运行。