{
	"id": "dbd85793-9bb3-42db-b299-788519ceb780",
	"created_at": "2026-04-06T00:18:39.586308Z",
	"updated_at": "2026-04-10T03:21:29.534115Z",
	"deleted_at": null,
	"sha1_hash": "ec3a47468a2cdf0771d2131ef7f275804cd81e39",
	"title": "SolarWinds失陷服务器测绘分析报告-安全KER - 安全资讯平台",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1364761,
	"plain_text": "SolarWinds失陷服务器测绘分析报告-安全KER - 安全资讯平台\r\nArchived: 2026-04-05 13:43:01 UTC\r\n0x01背景\r\n美国时间2020年12月13日，SolarWinds公司的orion平台软件被爆出存在供应链后门，使用该公司产品的数\r\n百家美国核心组织机构被国家级APT组织入侵。\r\n在此事件披露后不久，Solarwinds供应链后门的C\u0026C开始被微软和域名服务商接管锁定，攻击者似乎已无\r\n法通过C\u0026C控制失陷的SolarWinds服务器。但在360威胁情报中心发布的SolarWinds供应链攻击揭秘报告\r\n中，明确指出了此次事件相关的核心后门程序外，攻击者还在SolarWinds服务器中植入了另外的WebShell\r\n后门程序。\r\n据悉，SolarWinds公司为全球30万家客户提供了产品服务，SolarWinds失陷服务器有可能仍然遍布网络空\r\n间，相关组织机构仍然存在极大的安全风险。依靠360安全大脑的全网安全能力，360Quake团队联合360\r\n高级威胁研究分析中心对全网的SolarWinds服务器进行了分析调查。\r\n0x02Solarwins WebShell后门分析\r\nSolarwinds  orion平台的Web控制台和IIS等Web中间件是无缝绑定的，因此攻击者可以从外网直接访问服\r\n务器。\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 1 of 7\n\n在此次solarwinds供应链攻击事件中，攻击者在后渗透阶段针对特定目标solarwinds服务器的Web控制台植\r\n入了Webshell后门组件，该组件的原厂功能是根据网络请求数据给管理平台网页返回显示logo图片，而在\r\n后门组件中对原功能增加了一段后门代码。\r\n该处新增的后门代码为原文件新增了codes、clazz、method、args这四个额外的HTTP请求参数。\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 2 of 7\n\n攻击者通过HTTP请求传入的任意自定义代码，最终会被后门代码动态编译执行。\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 3 of 7\n\n0x03SolarWinds服务器存活情况\r\n根据Quake 的搜索语法：app:”Solarwinds-orion”\r\n我们发现SolarwindsOrion 的一年内资产数据为3146条，独立IP数量为1414个。国家分布和国内各个省份\r\n分布如图所示：\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 4 of 7\n\n利用Quake搜索：app:”Solarwinds-orion”AND response:”2019.4″\r\n发现受影响的 2019.4版本的有485个，\r\n利用Quake搜索：app:”Solarwinds-orion”AND response:”2020.2.1″\r\n发现受影响的2020.2.1版本有218个。\r\n在对Solarwinds orion平台进行探测的同时，我们统计了搭建Solarwinds orion平台的windows server版本。\r\n根据探测的结果，可以发现Solarwinds服务器环境占据前五的主要是：\r\n因为iis8.0和iis8.5同属于WindowsServer 2012，所以前四的windows服务器版本环境分别对应的是\r\nWindowsServer 2016，WindowsServer 2012，WindowsServer 2008，WindowsServer 2003。\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 5 of 7\n\n0x04Solarwins WebShell抽样排查\r\n结合Webshell的分析特征，我们发现请求Orion/LogoImageHandler.ashx响应文件类型会被强制设\r\n置”text/plain”。\r\n我们针对该特征对全球的Solarwinds orion平台进行抽样分析，发现了多台疑似被植入WebShell后门的服务\r\n器。部分后门服务器列表如下：\r\n0x05总结\r\n本次探测结果可知，全网视野下存在安全隐患的Solarwinds服务器数量仍是以美国地区为最多，而国内也\r\n存在少部分隐患资产。\r\n目前，Solarwinds供应链后门的C\u0026C已被安全厂商和域名服务商接管锁定，但攻击者除开使用C\u0026C控制失\r\n陷服务器外，很可能再通过其他预置的后门，利用外网失陷Solarwinds服务器再次入侵目标，请相关的组\r\n织机构提高警惕。\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 6 of 7\n\n更多网络空间测绘领域研究内容，敬请期待~\r\nHappy hunting by using 360-Quake.\r\n0x06参考文章\r\nhttps://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q\r\nSource: https://www.anquanke.com/post/id/226029\r\nhttps://www.anquanke.com/post/id/226029\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.anquanke.com/post/id/226029"
	],
	"report_names": [
		"226029"
	],
	"threat_actors": [],
	"ts_created_at": 1775434719,
	"ts_updated_at": 1775791289,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/ec3a47468a2cdf0771d2131ef7f275804cd81e39.pdf",
		"text": "https://archive.orkl.eu/ec3a47468a2cdf0771d2131ef7f275804cd81e39.txt",
		"img": "https://archive.orkl.eu/ec3a47468a2cdf0771d2131ef7f275804cd81e39.jpg"
	}
}