0

一个 Weblogic 服务器被黑了,问题现在已经解决了。我现在正在沙箱中查看受感染的虚拟机,并想看看是否在应用程序服务器上访问了任何数据。应用服务器受到 ssh 请求的冲击,因此我们将受感染的 VM 识别为 Web 逻辑 VMS,我们没有 http 登录。有什么方法可以确定是否有任何 PII 被泄露?

查看了 weblogic 上的安全日志以及查看了 PIA 日志,我不确定如何识别是否访问了任何数据

我想知道我们的网络和信息或数据出了什么问题

我应该寻找什么

查看运行在 red hat 上的 weblogic 服务器有什么我可以学到的吗?

4

1 回答 1

1

我想相信 SSH 不是唯一受到打击的服务,这是一个很大的尝试,让人们关注 Auth 日志记录,同时尝试其他服务。

  • 你有一个你正在使用的时间框架吗?
  • 是否检查了该时间范围内的操作系统日志?
  • .bash_history 被检查了吗?环境变量?/etc/pass* 添加的用户?别名?在网络连接上打开反向shell?在该特定主机上运行的服务上创建的新用户?
  • WebLogic 是在这个公开可用的主机上运行的唯一服务吗?
  • 还有哪些其他服务和端口可用?
  • 这是由于旧版本的 Weblogic 或其他服务、应用程序、插件造成的吗?

创建自己的 Excel 电子表格并开始时间线。查看所有可能的操作系统级别日志记录,并开始记录任何看起来可疑的内容,然后按照该面包屑导航到筋疲力尽。

于 2019-05-14T07:27:37.717 回答