飞牛nas检测到websell后门

jaceyxp · 2025-4-22 09:14:58

飞牛nas检测到websell后门
微信图片_20250422091446.png

jaceyxp · 2025-4-22 09:19:24

说错了，应该是态势感知检测到飞牛nas有webshell后门

nameyq · 2025-4-22 13:44:01

怎么处理掉

jaceyxp · 2025-4-22 16:57:28

nameyq 发表于 2025-4-22 13:44
怎么处理掉

等官方处理

kenai · 2025-4-22 21:25:45

是误报还是真有后门，可以把检测到的数据包发一下么

15883047333 · 2025-4-22 21:53:14

应该是类似后门的那种技术而已

jaceyxp · 2025-4-23 09:05:40

kenai 发表于 2025-4-22 21:25
是误报还是真有后门，可以把检测到的数据包发一下么

深信服的态势感知监测的。

jaceyxp · 2025-4-23 09:12:05

kenai 发表于 2025-4-22 21:25
是误报还是真有后门，可以把检测到的数据包发一下么

检测到18次主机遭受webshell扫描攻击事件，事件详情TOP10如下：
1、
主机 8.134.132.177 对 192.168.100.230 发起webshell扫描攻击，共检测到9次
未命中url: http://单位IP:8210/upload.asp
http://单位IP:8210/settings.php
http://单位IP:8210/upfile.php
http://单位IP:8210/conf.php
http://单位IP:8210/upload.jsp
http://单位IP:8210/upfile.jsp
http://单位IP:8210/application.php
http://单位IP:8210/app.php
http://单位IP:8210/upfile.asp
命中url:
开始时间：2025/04/22 16:01:36，结束时间：2025/04/22 16:01:47
2、
主机 8.134.134.227 对 192.168.100.230 发起webshell扫描攻击，共检测到9次
未命中url: http://单位IP:8210/conf.php
http://单位IP:8210/app.php
http://单位IP:8210/upfile.asp
http://单位IP:8210/upfile.php
http://单位IP:8210/upload.jsp
http://单位IP:8210/upfile.jsp
http://单位IP:8210/upload.asp
http://单位IP:8210/settings.php
http://单位IP:8210/application.php
命中url:
开始时间：2025/04/22 16:00:54，结束时间：2025/04/22 16:01:02
查看日志

原理
1.黑客在进行渗透过程中存在探测服务器是否存在已经被上传的webshell行为，只要准备一份常见的webshell上传路径以及字典即可探测服务器是否存在典型的webshell，如果存在即可直接利用。
2.黑客在进行webshell上传之前会探测服务器是否有上传点，常见的上传点包括一些CMS框架以及编辑框架等，通过扫描提前准备好的字典就可以对web服务器就行路径扫描。

风险危害
1.大量扫描流量可能导致服务器瘫痪。
2.攻击者可能获得服务器中存在的后门。
3.被黑客扫描到可利用的webshell上传点，进而上传webshell脚本。

jaceyxp · 2025-4-23 09:20:31

这是部分攻击截图

jaceyxp · 2025-4-23 09:27:58

momo_XC9pj · 2025-4-23 09:35:00

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门，可以把检测到的数据包发一下么

这是扫描吧，不一定真有，你访问下链接验证下呢

momo_XC9pj · 2025-4-23 09:36:45

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门，可以把检测到的数据包发一下么

这里看了都是未命中的，命中的没有，估计是漏扫扫的，你们单位要是没有漏扫的话，可能是其他中病毒或恶意软件的主机扫的，查下源ip的主**

bmzsjd · 2025-4-23 16:58:48

你这是单位吧？你还映射成单位公网IP，所以外面很多做黑灰产或者一些抓SRC的都可以进行扫描，你看到的不过是流量探针日志告警，需要看是否成功了。然后你自己检测是否存在两高一弱的问题(高风险端口，高风险漏洞，弱口令问题)。个人建议你能操作飞牛OS，就把飞牛防火墙打开，仅允许哪些IP访问，一般家里附近基站都是一个动态公网C段，家庭宽带也是的。你可以创建一个FNID进行中继管理，方便随时改白名单IP。提升你的防护。有技术能力可以安装雷池WAF来防护

bmzsjd · 2025-4-23 17:00:00

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门，可以把检测到的数据包发一下么

一看也是干网络安全的

jaceyxp · 2025-4-24 08:18:55

bmzsjd 发表于 2025-4-23 16:58
你这是单位吧？你还映射成单位公网IP，所以外面很多做黑灰产或者一些抓SRC的都可以进行扫描，你看到的不过 ...

你没看明白，是nas在连接公网扫描

jaceyxp · 2025-4-24 08:20:01

momo_XC9pj 发表于 2025-4-23 09:36
这里看了都是未命中的，命中的没有，估计是漏扫扫的，你们单位要是没有漏扫的话，可能是其他中病毒或恶意 ...

看9楼10楼，都是nas主动扫

		自动登录	找回密码
密码			立即注册

飞牛nas检测到websell后门

本帖子中包含更多资源

点评

点评

点评

本帖子中包含更多资源

本帖子中包含更多资源

点评

点评