于是拿出自寫的webshell查抄東西,查到了這二個文件。
可是入侵被沒有竣事,厥后發明網站又被竄改,然后查察日志,發明的內容如下。
可以看到,黑客發明forum.php被刪除,返回404之后,用GET方法測試了下class_clouds.php是否存在,返回200后,,開始用POST操縱這個后門。
由于沒有把preg_replace添加到查抄函數列表,導致class_clouds.php成了喪家之犬。
在黑客發明class_clouds.php又被刪除后,登錄樂成了uc_server,如下圖
關于暗碼,有二種大概性,一是社工,二是之前通過webshell獲得了MD5,解出了暗碼。
通過uc_server,黑客獲得了uc.bak.php。有大概是操作了0day裂痕。
在第一次排除webshell之后,已經對網站做了寫入和執行權限的互斥配置,可是由于疏忽,沒有打消網站根目次自己的寫入權限(自我檢修下),導致在根目次下生成了webshell,一般環境下webshell城市生成在隱蔽目次,生成在根目次是黑客迫于無奈,因為其他目次要么沒有寫權限,要么沒有執行權限。
針對上面發明的所有環境都做了妥善處理懲罰,最終黑客終于止步于此。
可以看到,黑客實驗會見uc_server/admin.php,可是文件已經更名。然后會見了一次首頁,閃人。
在最后審查日志后發明,黑客在幾天的時間內,共計用了差異國度的十幾個署理IP
94.242.246.23 盧森堡
217.12.204.104 烏克蘭
81.89.96.88 德國
188.138.9.49 德國
171.25.193.20 瑞典
194.150.168.95 德國
46.165.250.235 德國
77.247.181.162 荷蘭
82.94.251.227 荷蘭
176.10.100.229 瑞士
62.236.108.73 芬蘭
37.221.162.226 羅馬尼亞
122.233.180.9 中國
59.174.44.104 中國
176.10.100.229 瑞士
178.217.187.39 波蘭
在黑客的進攻請求傍邊,進程清晰明白,多余拖沓的步調很是少,應該是利用了高度自動化的東西實施的,十分追求效率,操縱竣事就閃人,從不閑逛。
而且按照上面的IP發明白這樣的一條請求
"GET / HTTP/1.1" 301 5 "http:[email protected]?s=zhizhu"
后頭的URL應該是黑客所利用的“打點系統”,在這個打點系統中點擊鏈接進入的客戶網站。
百度了下發明這個域名有和菠菜相關的內容
在已往幾年中處理懲罰過大量的入侵事件,可是如此執著和高效率的入侵手法在中小型網站中并不多見,以至于在最初有些輕敵。
兩篇本文相關文章:
webshell的查殺思路 http://www.server110.com/web_sec/201408/10902.html
web日志中查找webshell的方法 http://www.server110.com/linux_sec/201407/10788.html
在本次事件中總結的幾點安詳發起:
WEB日志十分須要,在硬盤空間答允的環境下盡大概多的保存日志。
每個處所利用差異的而且隨機生成的暗碼。
存眷網站措施的裂痕并實時更新補丁。
網站不要利用數據庫的root用戶,每個網站用單獨的用戶。
寫入和執行權限互斥十分須要。
PHP務必禁用執行呼吁的函數而且配置好open_basedir。
最后是重中之重,網站數據必然要做好備份!