登录/ 注册
 找回密码
 立即注册

微信扫码 , 快速开始
发布主题
返回列表 发新帖
收起左侧

飞牛nas检测到websell后门

15
回复 170
查看 [ 复制链接 ]
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
3 天前 显示全部楼层 阅读模式
悬赏1飞牛币未解决

飞牛nas检测到websell后门
微信图片_20250422091446.png

附件: 您需要 登录 才可以下载或查看,没有账号?立即注册
收藏
送赞
分享

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
3 天前 楼主 显示全部楼层
回复

举报

说错了,应该是态势感知检测到飞牛nas有webshell后门
回复
nameyq

1

主题

61

回帖

0

牛值

初出茅庐
3 天前 显示全部楼层
回复

举报

怎么处理掉

回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
3 天前 楼主 显示全部楼层
回复

举报

nameyq 发表于 2025-4-22 13:44
怎么处理掉

等官方处理
回复
kenai

6

主题

31

回帖

0

牛值

江湖小虾
3 天前 显示全部楼层
回复

举报

是误报还是真有后门,可以把检测到的数据包发一下么

jaceyxp
检测到18次主机遭受webshell扫描攻击事件,事件详情TOP10如下: 1、 主机 8.134.132.177 对 192.168.100.230 发起webshell扫描攻击,共检测到9次 未命中url: http://218.1.111.190:8210/upload.asp http://218.1.111  详情 回复
前天 09:12
jaceyxp
深信服的态势感知监测的。  详情 回复
前天 09:05
回复
15883047333

1

主题

6

回帖

0

牛值

江湖小虾
3 天前 显示全部楼层
回复

举报

应该是类似后门的那种技术而已

回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
前天 09:05 楼主 显示全部楼层
回复

举报

kenai 发表于 2025-4-22 21:25
是误报还是真有后门,可以把检测到的数据包发一下么

深信服的态势感知监测的。
回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
前天 09:12 楼主 显示全部楼层
回复

举报

kenai 发表于 2025-4-22 21:25
是误报还是真有后门,可以把检测到的数据包发一下么



检测到18次主机遭受webshell扫描攻击事件,事件详情TOP10如下:
1、
主机 8.134.132.177 对 192.168.100.230 发起webshell扫描攻击,共检测到9次
未命中url: http://单位IP:8210/upload.asp
http://单位IP:8210/settings.php
http://单位IP:8210/upfile.php
http://单位IP:8210/conf.php
http://单位IP:8210/upload.jsp
http://单位IP:8210/upfile.jsp
http://单位IP:8210/application.php
http://单位IP:8210/app.php
http://单位IP:8210/upfile.asp
命中url:
开始时间:2025/04/22 16:01:36,结束时间:2025/04/22 16:01:47
2、
主机 8.134.134.227 对 192.168.100.230 发起webshell扫描攻击,共检测到9次
未命中url: http://单位IP:8210/conf.php
http://单位IP:8210/app.php
http://单位IP:8210/upfile.asp
http://单位IP:8210/upfile.php
http://单位IP:8210/upload.jsp
http://单位IP:8210/upfile.jsp
http://单位IP:8210/upload.asp
http://单位IP:8210/settings.php
http://单位IP:8210/application.php
命中url:
开始时间:2025/04/22 16:00:54,结束时间:2025/04/22 16:01:02
查看日志

原理
1.黑客在进行渗透过程中存在探测服务器是否存在已经被上传的webshell行为,只要准备一份常见的webshell上传路径以及字典即可探测服务器是否存在典型的webshell,如果存在即可直接利用。
2.黑客在进行webshell上传之前会探测服务器是否有上传点,常见的上传点包括一些CMS框架以及编辑框架等,通过扫描提前准备好的字典就可以对web服务器就行路径扫描。

风险危害
1.大量扫描流量可能导致服务器瘫痪。
2.攻击者可能获得服务器中存在的后门。
3.被黑客扫描到可利用的webshell上传点,进而上传webshell脚本。
bmzsjd
一看也是干网络安全的  详情 回复
前天 17:00
momo_XC9pj
这里看了都是未命中的,命中的没有,估计是漏扫扫的,你们单位要是没有漏扫的话,可能是其他中病毒或恶意软件的主机扫的,查下源ip的主**  详情 回复
前天 09:36
momo_XC9pj
这是扫描吧,不一定真有,你访问下链接验证下呢  详情 回复
前天 09:35
回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
前天 09:20 楼主 显示全部楼层
回复

举报



这是部分攻击截图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
前天 09:27 楼主 显示全部楼层
回复

举报

微信截图_20250423092735.png

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复
momo_XC9pj

1

主题

7

回帖

0

牛值

江湖小虾
前天 09:35 显示全部楼层
回复

举报

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门,可以把检测到的数据包发一下么

这是扫描吧,不一定真有,你访问下链接验证下呢
回复
momo_XC9pj

1

主题

7

回帖

0

牛值

江湖小虾
前天 09:36 显示全部楼层
回复

举报

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门,可以把检测到的数据包发一下么

这里看了都是未命中的,命中的没有,估计是漏扫扫的,你们单位要是没有漏扫的话,可能是其他中病毒或恶意软件的主机扫的,查下源ip的主**
回复
bmzsjd

5

主题

25

回帖

0

牛值

江湖小虾
前天 16:58 显示全部楼层
回复

举报

你这是单位吧?你还映射成单位公网IP,所以外面很多做黑灰产或者一些抓SRC的都可以进行扫描,你看到的不过是流量探针日志告警,需要看是否成功了。然后你自己检测是否存在两高一弱的问题(高风险端口,高风险漏洞,弱口令问题)。个人建议你能操作飞牛OS,就把飞牛防火墙打开,仅允许哪些IP访问,一般家里附近基站都是一个动态公网C段,家庭宽带也是的。你可以创建一个FNID进行中继管理,方便随时改白名单IP。提升你的防护。有技术能力可以安装雷池WAF来防护

回复
bmzsjd

5

主题

25

回帖

0

牛值

江湖小虾
前天 17:00 显示全部楼层
回复

举报

jaceyxp 发表于 2025-4-23 09:12
kenai 发表于 2025-4-22 21:25
是误报还是真有后门,可以把检测到的数据包发一下么

一看也是干网络安全的
回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
昨天 08:18 楼主 显示全部楼层
回复

举报

bmzsjd 发表于 2025-4-23 16:58
你这是单位吧?你还映射成单位公网IP,所以外面很多做黑灰产或者一些抓SRC的都可以进行扫描,你看到的不过 ...

你没看明白,是nas在连接公网扫描
回复
jaceyxp

15

主题

21

回帖

0

牛值

初出茅庐
昨天 08:20 楼主 显示全部楼层
回复

举报

momo_XC9pj 发表于 2025-4-23 09:36
这里看了都是未命中的,命中的没有,估计是漏扫扫的,你们单位要是没有漏扫的话,可能是其他中病毒或恶意 ...

看9楼10楼,都是nas主动扫
回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

隐私政策|联系我们
粤ICP备2023020469号