文章总结： 某企业安全团队通过多维研判确定Webshell告警属误报：1）IP反查无域名且直访问错；2）威胁情报显示IP属腾讯云可信企业且证书与官网域名匹配；3）官网解析IP与告警IP不同但子域名解析匹配；4）综合研判确认IP归属可信企业且无被黑迹象；5）内网无异常。结论为设备误报，需优化告警规则并加强白名单管理。 综合评分： 75 文章分类： 应急响应,漏洞分析,威胁情报,实战经验,安全运营

HVV | 记一次护网Webshell告警分析研判，真真假假

原创

d0ublewei d0ublewei

大伯为安全

2024年10月29日 17:04 湖北

在小说阅读器读本章

去阅读

前言

首先是发现 qax 的设备出现 Webshell 通信告警，设备并没有判断攻击为失败，当然也没有说沦陷，而是企图，并且还出现好几次呢。

那当然不能放过它，研判走起来！

莫慌，先不看后面的内容，就单纯以上述这张图为主，看一看瞧一瞧，你是否能确定攻击成功 or 失败？

当然，不管成功或失败，反正接下来走一走研判的过程。

首先肯定是常规思路，设备告警分析分析、内网设备查一查，完犊子，啥也没查到，好好好！

那就换个方向查，来个新奇的思路，大不了权当练手也行喽，当信息收集来实践也不错（反正也没啥事 bushi）。

开干

既然已经有公网 ip（114.x.x.116）了，那我就想直接尝试 ip 反查一下域名，结果是失败的，发现没有绑定任何域名。

行，那我不管三七二十一，直接访问 ip 完事，看看效果，结果直接访问就出现了如下页面，这啥啊，错误？？？

咋办？那就威胁情报瞧一瞧，ip 一搜发现是腾讯云（广州），安全性未知（白 ip）？然后还定位到了这个 ip 下的数字证书以及公司（深圳市 xxxxx 股份有限公司）和域名（*.xxx.com.cn）

这里也查了好几个威胁情报，都没有报危险。

所以查到这里朋友们，虽然才查了几步，但一眼丁真，越查越看越觉是误报。不过没关系啦，既然都走到这里了，继续往后看，来它个百分之百确定！

都知道是什么公司了，那就直接上搜索引擎搜索公司名呗，这里搜索到公司官网了，进去看看。

访问官网（www.xxxxxx.com.cn），没问题，这个域名和前面证书上看到的域名对上了，ok

那这个域名对应的会不会就是最开始的那个 ip 呢？

虽然可能性比较小，但还是 ping 一下这个域名看看，这……解析出来的 ip（59.x.x.39）和最开始的 ip 对不上哦。

试试全球 ping，也是一样的结果（网站没挂 CDN，且还是这个 ip）。

然后我访问了一下最开始的 ip 和官网域名，发现一个奇怪现象！两者都有证书，并且长得一模一样，但是一个可信一个不可信？？说实话没搞清楚啥原因，求大佬解答。

还是差点意思，然后我就想看一下 114.x.x.116 的页面源代码，哦，发现一个子域名（wenxxx.xxx.com.cn）。

访问子域名，有东西。

最后 ping 一下这个子域名，不通没事，解析到的 ip 和最开始的 ip 对应上了，最终这就都对上了。

最后我们确定了公网 ip 确实是来源于这家公司，而这家公司我们是可信的，那不就是一个纯纯的 100% 误判。

除非！！除非！！这家公司被攻击、公司网站服务器被拿下，成为了攻击者跳板，这不至于不至于。

最后又把设备告警看了一看、内网设备查了一查，确实啥也没有，太可惜了，我都准备好溯源反制了……

下次来个被攻击成功的应急溯源

关注公众号，不迷路

END

往期精彩回顾

墙裂推荐！！一键更换Linux优质的软件源和docker源，要多方便有多方便

frp | 开源内网穿透利器，速速用起来

大闹天宫 | 被安全社区誉为可以“黑掉整个宇宙”的神器-1

Metasploit漏洞利用 | 被安全社区誉为可以“黑掉整个宇宙”的神器-2

Metasploit木马生成 | 被安全社区誉为可以“黑掉整个宇宙”的神器-3

内网渗透 | MSF&FRP | 无法直接访问的目标如何通过搭建代理进一步渗透？

1024程序员节 | 渗透测试精准狙击目标内网服务-何为端口转发技术？

目标网络限制严格CS拿不到权限怎么办？试试这个高级玩法—隧道上线

点击关注

渗透测试

信息安全

安全工具

戳“阅读原文”一起来充电吧!

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大伯为安全 d0ublewei d0ublewei《HVV | 记一次护网Webshell告警分析研判，真真假假》