于是拿出自寫(xiě)的webshell查抄東西,查到了這二個(gè)文件。
可是入侵被沒(méi)有竣事,厥后發(fā)明網(wǎng)站又被竄改,然后查察日志,發(fā)明的內(nèi)容如下。
可以看到,黑客發(fā)明forum.php被刪除,返回404之后,用GET方法測(cè)試了下class_clouds.php是否存在,返回200后,,開(kāi)始用POST操縱這個(gè)后門(mén)。
由于沒(méi)有把preg_replace添加到查抄函數(shù)列表,導(dǎo)致class_clouds.php成了喪家之犬。
在黑客發(fā)明class_clouds.php又被刪除后,登錄樂(lè)成了uc_server,如下圖
關(guān)于暗碼,有二種大概性,一是社工,二是之前通過(guò)webshell獲得了MD5,解出了暗碼。
通過(guò)uc_server,黑客獲得了uc.bak.php。有大概是操作了0day裂痕。
在第一次排除webshell之后,已經(jīng)對(duì)網(wǎng)站做了寫(xiě)入和執(zhí)行權(quán)限的互斥配置,可是由于疏忽,沒(méi)有打消網(wǎng)站根目次自己的寫(xiě)入權(quán)限(自我檢修下),導(dǎo)致在根目次下生成了webshell,一般環(huán)境下webshell城市生成在隱蔽目次,生成在根目次是黑客迫于無(wú)奈,因?yàn)槠渌看我礇](méi)有寫(xiě)權(quán)限,要么沒(méi)有執(zhí)行權(quán)限。
針對(duì)上面發(fā)明的所有環(huán)境都做了妥善處理懲罰,最終黑客終于止步于此。
可以看到,黑客實(shí)驗(yàn)會(huì)見(jiàn)uc_server/admin.php,可是文件已經(jīng)更名。然后會(huì)見(jiàn)了一次首頁(yè),閃人。
在最后審查日志后發(fā)明,黑客在幾天的時(shí)間內(nèi),共計(jì)用了差異國(guó)度的十幾個(gè)署理IP
94.242.246.23 盧森堡
217.12.204.104 烏克蘭
81.89.96.88 德國(guó)
188.138.9.49 德國(guó)
171.25.193.20 瑞典
194.150.168.95 德國(guó)
46.165.250.235 德國(guó)
77.247.181.162 荷蘭
82.94.251.227 荷蘭
176.10.100.229 瑞士
62.236.108.73 芬蘭
37.221.162.226 羅馬尼亞
122.233.180.9 中國(guó)
59.174.44.104 中國(guó)
176.10.100.229 瑞士
178.217.187.39 波蘭
在黑客的進(jìn)攻請(qǐng)求傍邊,進(jìn)程清晰明白,多余拖沓的步調(diào)很是少,應(yīng)該是利用了高度自動(dòng)化的東西實(shí)施的,十分追求效率,操縱竣事就閃人,從不閑逛。
而且按照上面的IP發(fā)明白這樣的一條請(qǐng)求
"GET / HTTP/1.1" 301 5 "http:[email protected]?s=zhizhu"
后頭的URL應(yīng)該是黑客所利用的“打點(diǎn)系統(tǒng)”,在這個(gè)打點(diǎn)系統(tǒng)中點(diǎn)擊鏈接進(jìn)入的客戶(hù)網(wǎng)站。
百度了下發(fā)明這個(gè)域名有和菠菜相關(guān)的內(nèi)容
在已往幾年中處理懲罰過(guò)大量的入侵事件,可是如此執(zhí)著和高效率的入侵手法在中小型網(wǎng)站中并不多見(jiàn),以至于在最初有些輕敵。
兩篇本文相關(guān)文章:
webshell的查殺思路 http://www.server110.com/web_sec/201408/10902.html
web日志中查找webshell的方法 http://www.server110.com/linux_sec/201407/10788.html
在本次事件中總結(jié)的幾點(diǎn)安詳發(fā)起:
WEB日志十分須要,在硬盤(pán)空間答允的環(huán)境下盡大概多的保存日志。
每個(gè)處所利用差異的而且隨機(jī)生成的暗碼。
存眷網(wǎng)站措施的裂痕并實(shí)時(shí)更新補(bǔ)丁。
網(wǎng)站不要利用數(shù)據(jù)庫(kù)的root用戶(hù),每個(gè)網(wǎng)站用單獨(dú)的用戶(hù)。
寫(xiě)入和執(zhí)行權(quán)限互斥十分須要。
PHP務(wù)必禁用執(zhí)行呼吁的函數(shù)而且配置好open_basedir。
最后是重中之重,網(wǎng)站數(shù)據(jù)必然要做好備份!