漏洞利用主要是指攻击者利用计算机程序中的某种漏洞，来达到控制计算机权限的目的，从近几年应急数据中，弱口令、WEB常见漏洞、中间件漏洞、服务器漏洞等经常成为攻击者利用的常用攻击方式。同时，设备配置不当和代码编写中存在的逻辑漏洞也成为攻击者高频利用发起攻击的常见手段，造成的经济损失也是非常大的。

1. 内网防护不到位致大量主机失陷

（一） 事件概述

某日，安服应急响应团队接到某公检法机构应急请求，该机构内网疑似被渗透，600多台主机失陷，导致业务系统和内部网络瘫痪。

应急人员对受害服务器进行排查，发现网络环境未做全面的防护策略，并且受害服务器版本过低，对外网开放了包含常用端口，如80端口、21端口等，和危险端口，如1433端口等在内的21个服务端口，甚至部分端口存在目录遍历等漏洞。攻击者利用上述系统问题，早在2020年就将webshell木马上传至受害服务器，并获取了该服务器的控制权。之后，攻击者对受害服务器上传了暴力破解工具和字典，并将受害服务器作为肉鸡，成功暴破了内网大量服务器或终端。

通过本次安全事件，该机构系统暴露了诸多安全隐患，包括未定期开展安全巡检工作，导致内部服务器于2020年就已被攻陷；对外开放端口过多，且包含部分高危端口；员工安全意识不足，大量服务器使用弱密码等。

（二） 防护建议

• 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；
• 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵；
• 建议对内网开展安全大检查，检查的范围包括但不限于后门清理、系统及网站漏洞检测等；
• 建议在服务器或虚拟化环境上部署虚拟化安全管理系统，提升防恶意软件、防暴力破解等安全防护能力；
• 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；
• 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；
• 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。

2. 网站存在任意文件上传漏洞，致多台主机沦陷

（一） 事件概述

某日，安服团队接到某医院应急请求，医院服务器被入侵。

应急响应人员通过网站的安全性检测以及系统日志分析发现，网站http://xxx:999存在任意文件上传漏洞，同时发现内网多台主机存在MS17-010漏洞，并且存在被暴力破解的记录。

最终通过对系统的检查和分析确定，攻击者首先对网站http://xxx:999进行访问，在该网站中发现了任意文件上传漏洞，并对其进行利用，通过上传ASP类型的Webshell获取了服务器的管理员权限，进而以该沦陷服务器为跳板机，利用内网多台主机中存在的MS17-010漏洞、RDP弱口令等对其进行攻击，导致多台内网终端沦陷。

（二） 防护建议

• 系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现；
• 对系统文件上传功能，采用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则；
• 加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等；
• 建议对内网服务器及主机开展安全大检查，检查的范围包括但不限于系统漏洞检测（如MS17-010漏洞、任意文件上传漏洞等）、后门检测，并及时进行漏洞修复、补丁安装、后门清理等工作；
• 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。

3. 服务器因SQL注入漏洞被攻陷

（一） 事件概述

某日，安服应急响应团队接到某政府单位应急响应请求，该单位员工发现天眼存在SQL注入告警，需要上机排查服务器是否存在异常。

应急人员在到达现场后，根据天眼SQL注入告警，首先对数据库服务器进行排查，发现该服务器存在大量“powershell.exe”和“mshta.exe”进程。通过对“powershell.exe”进程进行解密，确定该进程为攻击者的远控进程。结合天眼流量分析，确定攻击者于1天前凌晨3时11分左右，利用SQL注入漏洞，对该服务器进行命令执行攻击。查询服务器用户，发现可疑隐藏账户。对业务服务器进行排查发现有Webshell后门脚本文件“1.aspx”和“index.aspx”。

最终确定攻击者利用业务服务器登录处的SQL注入漏洞，进行任意命令执行，并创建隐藏账户、上传后门文件。因该业务服务器和数据库服务器为站库分离设计，故导致业务服务器和数据库服务器均被攻陷。

（二） 防护建议

• 对用户输入内容进行检查与验证。检查所输入字符串变量的内容，使用白名单，只接受所需的值，拒绝包含二进制数据、转义序列和注释字符的输入内容，限制用户输入内容的大小和数据类型，对输入内容进行强制转换等；
• 重要业务系统及核心数据库应设置独立的安全区域，做好区域边界的安全防御工作，严格限制重要区域的访问权限并关闭不必要、不安全的服务；
• 禁止重要服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；
• 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；
• 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵。

4. 机顶盒配置不当致堡垒机被攻陷

（一） 事件概述

某日，某运营商的安全设备监控到一台堡垒机前置机对内网其他服务器发起攻击行为，怀疑服务器已沦陷，向安服团队发起应急响应请求，希望对其内网服务器进行排查。

应急响应人员抵达现场后发现有两台服务器遭受不同程度地攻击，通过对可疑服务器进行排查溯源后发现，攻击者利用机顶盒配置不当连接本地机顶盒网络，从而访问堡垒机前置机等多台内网服务器。攻击者一方面利用前置机远程桌面服务端弱口令获取前置机权限，投放恶意程序及勒索病毒，然后在内网内横向移动传播恶意程序；另一方面在取得堡垒机控制权后利用Weblogic反序列化漏洞对端到端诊断系统实施多种敏感命令执行及漏洞探测行为，掌握系统敏感数据。

通过进一步地对服务器进行溯源后发现，早在事件发生前一个半月，攻击者就已经对服务器暴露在公网的3389端口发起大量暴力破解攻击，尝试获取服务器权限，但均登录失败，暴露身份信息。

应急响应人员立即排查全网资产，封禁恶意IP地址，关闭不必要的公网危险端口，增强访问策略，部署安全加固软件。

                                                                       图4-1：攻击路径图

（二） 防护建议

• 加强内部访问策略，增加访问控制策略。
• 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵；
• 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞（如MS17-010漏洞等）、安装补丁，将信息安全工作常态化。

5. 公网应用平台因Shiro反序列化漏洞被攻击

（一） 事件概述

某日，服团队接到某政府部门应急请求，该部门安全设备发现服务器反弹shell告警，需要进行排查溯源。

安服应急人员通过天眼告警与系统日志分析对受害资产梳理发现，其公网应用平台http://115.xx.xx.1/xx/采用Apche Shiro框架存在Shiro反序列化漏洞，内网做负载均衡的两台服务器被上传有webshell记录、frp内网穿透代理工具，公网出口地址与外网攻击者vps进行连接通信。

经最终分析研判确定，攻击者首先通过收集网上Shiro框架默认密钥，多次对应用平台http://115.xx.xx.1/xx接口利用Shiro RememberMe反序列化漏洞进行攻击，攻击成功后执行whoami、ifconfig等系统命令，然后利用远程命令执行使两台内网服务器从公网vps1下载webshell，访问webshell发现未解析随后删除webshell，进而下载frp内网穿透代理客户端并运行，最终将shell反弹至公网vps2服务器上面实现内网穿透并进行远程控制。

（二） 防护建议

• 封禁攻击者服务器IP、公网vps1、公网vps2；
• 对应用平台网站进行关闭或者使用白名单方式访问；
• 对Apache shiro框架进行版本更新，删除默认密钥，生成随机密钥方式登录；
• 加强安全运营监控力度，针对告警事件分析研判与处置；
• 优化主机、网络安全设备安全策略；
• 如非必须禁止内网服务器出外网；
• 有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口。