记一次CVE漏洞检测与分析

今天对入侵检测设备进行安全检查时，发现了中午某一时间段存在有大量攻击，次数600多次



查看下攻击源IP为当前局域网（如果是外网设备一定是攻击行为，需要进行黑名单处理）



不清楚是人为的爆破还是发生了什么，所以我对其进行了一番调查

首先使用了nmap进行指纹探测，发现其存在大量端口开放,且服务器为windows2008



难倒是虚拟机？有人在做渗透测试？，难道这台机器被人攻击了？（不仅是外网机器，当然内网机器也是有可能被攻击过的）这些都不清楚

我使用了nse脚本对其进行了漏洞探测：





发现多个端口运行了IIS7 且存在cve漏洞，还有一个是ssl的cve-2014-3566 最后一个端口9080，显示为“疑似漏洞”且可能存在CVE:CVE-2005-3299

查询了下3个CVE编号，直接google CVE-2015-1635 ，CVE-2005-3299 ,CVE-2014-3566

看来第一个是严重的微软已知漏洞



exp-db上已经有可exp检测代码了



检查下第二个，去google搜索了一番，发现这个漏洞nmap使用的脚本为http-phpmyadmin-dir-traversal.nse
https://nmap.org/nsedoc/scripts/http-phpmyadmin-dir-traversal.html
它的作用是检测这个/phpMyAdmin-2.6.4-pl1/下面存在任意文件读取

如果检测成功，则回显如下图所示的 etc/passwd的内容，这显然linux的，而根据刚才nmap显示设备是winserver的，而且没有回显其他windows信息，所以断定为“误报”！



第三个是ssl的问题，nmap采用的是scripts/ssl-poodle.nse 这个脚本，官网有介绍（https://nmap.org/nsedoc/scripts/ssl-poodle.html）

它检测的对象是443 ，这里nmap显示1433，因此判断为“误报”

分析完毕，我就没有进一步去验证第一个漏洞了，毕竟是攻击行为，内网还不知道会发生什么事情

汇报了下这个问题，剩下的交给运维去处理这台winserver主机了，可能需要打补丁（不仅公网机器需要打补丁，包括这些在内网的也是要打补丁的啊）, 至于这台机器为啥会狂发攻击包，还有待查明