火绒安全软件

标题: 火绒5.0：Web服务保护功能简介 [打印本页]

作者: Chang_Feng 时间: 2019-3-8 13:57
标题: 火绒5.0：Web服务保护功能简介

Web服务保护功能主要是针对一些常见现实环境中流行的Web服务器漏洞进行防护，可以防御来自攻击者的渗透攻击。

典型应用：

阻止攻击者利用JBoss服务器中的反序列化漏洞传播勒索病毒

攻击演示：

攻击者通常通过Web服务器漏洞进行攻击，获取远程主机的执行权，然后在被攻击系统上执行其他恶意代码，案例中以勒索病毒GandCrab 5.1为例。

1.在目标机器上部署并启动JBoss服务器，如下图所示：

2.在攻击终端上使用Brup Suit向被攻击终端发送攻击数据，如下图所示：

3.触发漏洞后，被攻击终端中的JBoss服务器进程开始执行PowerShell攻击代码，下载执行勒索病毒（下图：malware.exe）。

4.被攻击终端被勒索病毒勒索后，如下图所示：

防御测试：

1.在被攻击终端上安装火绒5.0，确保Web服务保护功能开启

2.在被攻击终端上部署并启动JBoss服务器

3.在攻击终端上使用Brup Suit向被攻击终端发送攻击数据(被火绒拦截)

根据火绒安全日志，我们可以了解到的防御细节：

1.通过关联进程和命令行可以得出，被攻击的Web服务器进程为JBoss服务器进程

2.发现IP为192.168.18.1 的终端正在使用Exploit/Apache.DeserRCE.A漏洞对被攻击终端Web服务器进行漏洞攻击

3.被攻击的Web服务器对应服务端口为8080，存在漏洞的服务访问地址URI为/invoker/JMXInvokerServlet

总结：

通过上述日志，不但可以帮助服务器管理人员防御漏洞攻击，还可以提示服务器管理人员，对存在漏洞的Web服务进行修复，从而提升系统安全性。

产品发布后我们会根据外部威胁趋势情况，加入新的Web服务保护策略，从而对应更多的漏洞攻击场景。

欢迎大家持续向我们提交相关攻击场景。

作者: 191196846 时间: 2019-3-8 14:27
您好，文件实时监控自动处理弹窗以及其他提示可不可以也像上图这样子收纳

作者: admin 时间: 2019-3-8 14:31

191196846 发表于 2019-3-8 14:27
您好，文件实时监控自动处理弹窗以及其他提示可不可以也像上图这样子收纳
...

目前“网络类攻击”是用消息盒子（收纳的），考虑是因为通常攻击发生时短期类比较频繁。

病毒通知还没有，会注意收集大家的意见。。是否可以统一处理。

作者: 191196846 时间: 2019-3-8 14:38
本帖最后由 191196846 于 2019-3-8 15:02 编辑

admin 发表于 2019-3-8 14:31
目前“网络类攻击”是用消息盒子（收纳的），考虑是因为通常攻击发生时短期类比较频繁。

病毒通知还没有 ...

是建议弹窗风格统一

可以考虑做个通知中心，消息收纳盒
@HuoRong、Huo @火绒运营专员

作者: 清雨青雪 时间: 2019-3-8 14:52
竟然没抢到沙发

作者: pzacker 时间: 2019-3-8 15:42
可以很6

作者: 深蓝冲击波 时间: 2019-3-8 16:38
Web服务防护。。。。。

作者: maoys_01 时间: 2019-3-9 08:51

191196846 发表于 2019-3-8 14:27
您好，文件实时监控自动处理弹窗以及其他提示可不可以也像上图这样子收纳
...

思考很到位

作者: None 时间: 2019-4-1 01:34
可以代替安全狗了，建议增加查杀php等文件病毒后门

作者: 看见如果 时间: 2019-4-9 11:26
不错哦，还能防护web了
上个月才用火绒拯救了一台服务器

作者: mutu 时间: 2019-5-15 18:58
很实用的功能

作者: 北极光 时间: 2019-5-19 13:39
支持一下！

作者: z134 时间: 2019-6-8 13:17
建议增加查杀php等文件病毒后门

作者: iMin 时间: 2022-1-9 13:37

None 发表于 2019-4-1 01:34
可以代替安全狗了，建议增加查杀php等文件病毒后门

火绒本来就可以查杀php后门

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)