Emergency-Response-Notes

第9篇：编辑器入侵事件

UEditor是百度的一个javascript编辑器的开源项目，很多开发人员都喜欢引用这个编辑器，但这个编辑器官网版本一直停留在2016-05-26，已经很久没有更新了。

0x01 现象描述

HIDS预警：发现后门(Webshell)文件，建议您立即进行处理。

0x02 事件分析

1、发现Webshell

通过预警信息，找到木马文件路径：

备注：紧急处理，通过禁止动态脚本在上传目录的运行权限，使webshell无法成功执行。

2、定位文件上传时间

根据Webshell文件创建时间，2020年3月9日 15:08:34

3、Web访问日志关联分析

由于，IIS日志时间与系统时间相差8小时，系统时间是15:08，我们这里查看的是 7:08的日志时间。

2020-03-09 07:08:34 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage
...................
...................
2020-03-09 07:08:35 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage

找到对应的网站访问日志，在文件创建时间隔间里，我们会注意到这样两个ueditor的访问请求，初步怀疑是UEditor编辑器任意文件上传漏洞。

4、本地漏洞复现

A、本地构建一个html

<form action="http://xxxxxxxxx/ueditor/net/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr:<input type="text" name="source[]" /></p >
  <inputtype="submit" value="Submit" />
</form>

B、上传webshell，上传成功

经漏洞复现，确认UEditor编辑器任意文件上传漏洞。

5、还原攻击者行为

通过相关文件的访问记录进行关联分析，攻击者通过 ueditor编辑器成功上传webshell。

0x03 事件处理

1、删除Webshell

清楚已发现的webshell，并尝试查找可能隐藏的webshell。

2、代码完整性验证

我们来思考一个问题，如果有一个免杀的Webshell隐藏在数以万行的代码中，怎么搞？

文件完整性校验，检查网站的源码是否被篡改过。

操作过程：

通过查看服务器上已部署的源代码版本，找研发同事要同样版本的代码。把纯净源码的所有文件计算一次hash值保存，再到服务器上执行一次hash值，通过比对hash值，输出新创建的/被修改过的/删除的文件列表。

3、系统入侵排查

对系统做一个整体排查，确认是否存在后门

4、代码修复

反馈给相关开发人员进行代码修复。