一、事件描述

2019年1月05日，某学院主站业务异常，无法正常访问。智圣现场运维人员进行故障排查，发现服务器出现大量SYN半连接请求，如下图所示：

智圣现场运维人员对服务器进行安全加固，封禁攻击IP后重启，服务器恢复正常。第二天事件重发，智圣现场运维人员采取同样的手段，服务器又恢复正常。

直到2019年1月10日，主站出现百度搜索相关条目跳转至赌博网站，事件升级，学院主管领导和智圣现场运维人员修改index.aspx代码，主站页面恢复正常。智圣安全应急响应小组进行紧急现场支持，确定事件为网站挂马事件。智圣安全应急响应小组逐步定位木马位置、确认木马功能、根查木马、调整安全设备配置，修复网站漏洞。并尝试相同攻击手段，确认无法继续挂马，查找到相应攻击者IP地址信息，已交付至学院领导处，等待下一步报案或其他处理方法。响应后至今日发布报告时间未出现任何异常，网站和服务器均正常运行。

二、事件处理过程

1）攻击方式

通过事件分析，1月05日是攻击者对服务器进行漏洞扫描。服务器发出大量响应数据包，造成DOS攻击，主站无法正常访问。下图为1月05日日志，攻击者以一秒几十个数据包对服务器进行扫描并发送相应POC（攻击利用方式），显然攻击者构建的是php的远程代码执行POC对服务器进行上传php的webshell动作（扫描器自动化操作，未意识到网站为.net），其中攻击IP为203.171.226.142（存在大量异常IP，例如美国、香港、北京等地攻击的情况，不一一举例）。

该地址为河南省郑州

服务器中文件上传目录下发现异常uu.aspx文件和A.ASPX文件，如下：

第一个为图形和aspx文件合成图马，绕过waf和安全防御设备

下图为正常的多功能马

分析得均为webshell木马，本地破解攻击者上传的木马密码的MD5明文为463188和3389

至此基本确定攻击方式和挂马内容。攻击后的Index.aspx文件已粉碎，部分日志也被攻击者删除无法还原，上传点不具体披露，链接引导赌博地址如下：

2）解决方案

WAF策略进行调整，针对文件上传、SYN半连接DOS攻击、SQL注入等漏洞利用POC进行过滤

调整策略之后对相应业务进行扫描测试、未变形的POC被WAF有效阻拦（理论上来说任何过滤基于规则的设备都存在被绕过的可能性），漏洞修复工作已协助开发进行修复，需要修改代码，更新业务。

三、安全建议

从日志上看来，存在大量对学院的攻击行为，漏洞利用方式多种多样，甚至存在各种新颖的攻击手段，安全态势不容乐观。根据木桶效应原理，建议对学院全站进行一次完整渗透性测试、定期对服务器和中间件进行漏洞扫描和更新补丁。