记一次CVE漏洞检测与分析
2017-09-28 15:45
3471 查看
今天对入侵检测设备进行安全检查时,发现了中午某一时间段存在有大量攻击,次数600多次
查看下攻击源IP为当前局域网(如果是外网设备一定是攻击行为,需要进行黑名单处理)
不清楚是人为的爆破还是发生了什么,所以我对其进行了一番调查
首先使用了nmap进行指纹探测,发现其存在大量端口开放,且服务器为windows2008
难倒是虚拟机?有人在做渗透测试?,难道这台机器被人攻击了?(不仅是外网机器,当然内网机器也是有可能被攻击过的)这些都不清楚
我使用了nse脚本对其进行了漏洞探测:
发现多个端口运行了IIS7 且存在cve漏洞,还有一个是ssl的cve-2014-3566 最后一个端口9080,显示为“疑似漏洞”且可能存在CVE:CVE-2005-3299
查询了下3个CVE编号,直接google CVE-2015-1635 ,CVE-2005-3299 ,CVE-2014-3566
看来第一个是严重的微软已知漏洞
exp-db上已经有可exp检测代码了
检查下第二个,去google搜索了一番,发现这个漏洞nmap使用的脚本为http-phpmyadmin-dir-traversal.nse
https://nmap.org/nsedoc/scripts/http-phpmyadmin-dir-traversal.html
它的作用是检测这个/phpMyAdmin-2.6.4-pl1/下面存在任意文件读取
如果检测成功,则回显如下图所示的 etc/passwd的内容,这显然linux的,而根据刚才nmap显示设备是winserver的,而且没有回显其他windows信息,所以断定为“误报”!
第三个是ssl的问题,nmap采用的是scripts/ssl-poodle.nse 这个脚本,官网有介绍(https://nmap.org/nsedoc/scripts/ssl-poodle.html)
它检测的对象是443 ,这里nmap显示1433,因此判断为“误报”
分析完毕,我就没有进一步去验证第一个漏洞了,毕竟是攻击行为,内网还不知道会发生什么事情
汇报了下这个问题,剩下的交给运维去处理这台winserver主机了,可能需要打补丁(不仅公网机器需要打补丁,包括这些在内网的也是要打补丁的啊), 至于这台机器为啥会狂发攻击包,还有待查明
查看下攻击源IP为当前局域网(如果是外网设备一定是攻击行为,需要进行黑名单处理)
不清楚是人为的爆破还是发生了什么,所以我对其进行了一番调查
首先使用了nmap进行指纹探测,发现其存在大量端口开放,且服务器为windows2008
难倒是虚拟机?有人在做渗透测试?,难道这台机器被人攻击了?(不仅是外网机器,当然内网机器也是有可能被攻击过的)这些都不清楚
我使用了nse脚本对其进行了漏洞探测:
发现多个端口运行了IIS7 且存在cve漏洞,还有一个是ssl的cve-2014-3566 最后一个端口9080,显示为“疑似漏洞”且可能存在CVE:CVE-2005-3299
查询了下3个CVE编号,直接google CVE-2015-1635 ,CVE-2005-3299 ,CVE-2014-3566
看来第一个是严重的微软已知漏洞
exp-db上已经有可exp检测代码了
检查下第二个,去google搜索了一番,发现这个漏洞nmap使用的脚本为http-phpmyadmin-dir-traversal.nse
https://nmap.org/nsedoc/scripts/http-phpmyadmin-dir-traversal.html
它的作用是检测这个/phpMyAdmin-2.6.4-pl1/下面存在任意文件读取
如果检测成功,则回显如下图所示的 etc/passwd的内容,这显然linux的,而根据刚才nmap显示设备是winserver的,而且没有回显其他windows信息,所以断定为“误报”!
第三个是ssl的问题,nmap采用的是scripts/ssl-poodle.nse 这个脚本,官网有介绍(https://nmap.org/nsedoc/scripts/ssl-poodle.html)
它检测的对象是443 ,这里nmap显示1433,因此判断为“误报”
分析完毕,我就没有进一步去验证第一个漏洞了,毕竟是攻击行为,内网还不知道会发生什么事情
汇报了下这个问题,剩下的交给运维去处理这台winserver主机了,可能需要打补丁(不仅公网机器需要打补丁,包括这些在内网的也是要打补丁的啊), 至于这台机器为啥会狂发攻击包,还有待查明
相关文章推荐
- OpenSSL Heartbleed漏洞(CVE-2014-0160)简要分析和检测
- Glibc ghost(CVE-2015-0235)漏洞简要分析及检测
- tomcat 漏洞 CVE-2016-1240 分析报告
- linux kernel 本地提权漏洞CVE-2013-1763 exploit 代码分析
- cve-2012-1876漏洞分析
- CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
- 对CVE-2014-6271 [破壳漏洞] 的一次不太深入的跟踪
- CVE-2014-0195漏洞分析
- IE UAF 漏洞(CVE-2012-4969)漏洞分析与利用
- cve-2012-0158漏洞分析
- 安卓拒绝服务漏洞分析及漏洞检测
- cve-2011-0027漏洞分析
- tomcat 漏洞 CVE-2016-1240 分析报告
- 破壳漏洞(CVE-2014-6271)综合分析:“破壳”漏洞系列分析之二
- Oracle数据库XXE注入漏洞(CVE-2014-6577)分析
- 看个AV也中招之cve-2010-2553漏洞分析
- CVE-2017-8890漏洞分析与利用(Root Android 7.x)
- CVE-2014-7911 Android本地提权漏洞分析与利用
- 浅谈web上存漏洞及原理分析、防范方法(文件名检测漏洞)
- linux kernel 本地提权漏洞CVE-2013-1763 exploit 代码分析