網站或許環(huán)境,Linode東京高配的VPS,CentOS系統,LNMP情況,跑的Discuz X 2.5,會見量不小。
開始先用下面這樣的呼吁查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函數都查了一遍,并沒有發(fā)明可疑文件。
可是伴侶告之,網站最近二天都被竄悔改,,不按時呈現彈窗,然后過不久又消失。
以此判定,作惡的人必然會會見到webshell,通過webshell修改網站上的文件 。
萬幸,處事器上保存了或許三天的Nginx日志。
把日志文件整理了下,執(zhí)行下面的呼吁
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
功效如下圖:
這個呼吁的浸染是把日志里被POST方法請求的文件全部列出來。
從webshell風行起來開始,險些所有的webshell都以POST方法來提交操縱請求,目標就是把參數在日志里埋沒掉,因為凡是日志并不會記錄POST參數。
可是物極必反,這一思路形成主流后反而給查抄提供了利便。
上面列出的這些文件險些都查抄了一遍,多余的就不多說了,最后問題確定在/source/archiver/common/footer.php這個文件上,文件內容如下圖:
這個include一下就袒露了。
先到日志里查一下請求這個文件用的GET參數,如下圖:
順勢找到/uc_server/data/tmp/upload753178.jpg這個文件 。
打開后,在最后發(fā)明:
到這里,一切豁然開朗,這是菜刀的后門。
跋文:
從日志來看,三四天以來差不多天天會有一次行動,而每次用完菜刀,會到百度去搜索某一個要害詞,而排第一的正是這個網站,然后再通過百度鏈接來會見網站。可以看出,作惡者的目標是想挾制網站的百度等搜索引擎流量 ,這樣搞一通下來,正是在做測試。可是挾制代碼有問題,因為每次出彈窗的時候,直接打開網站也會彈,也正是因為這樣,每次呈現彈窗不久就又被作惡者去除。最后的結論是,1)木馬好久前就已經上傳,可是日志已經不在,無法確定是怎么傳上來的;2)此刻搞彈窗的人并不是傳馬的人,很有大概是買來的。