網(wǎng)站或許環(huán)境,Linode東京高配的VPS,CentOS系統(tǒng),LNMP情況,跑的Discuz X 2.5,會見量不小。
開始先用下面這樣的呼吁查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函數(shù)都查了一遍,并沒有發(fā)明可疑文件。
可是伴侶告之,網(wǎng)站最近二天都被竄悔改,,不按時呈現(xiàn)彈窗,然后過不久又消失。
以此判定,作惡的人必然會會見到webshell,通過webshell修改網(wǎng)站上的文件 。
萬幸,處事器上保存了或許三天的Nginx日志。
把日志文件整理了下,執(zhí)行下面的呼吁
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
功效如下圖:
這個呼吁的浸染是把日志里被POST方法請求的文件全部列出來。
從webshell風行起來開始,險些所有的webshell都以POST方法來提交操縱請求,目標就是把參數(shù)在日志里埋沒掉,因為凡是日志并不會記錄POST參數(shù)。
可是物極必反,這一思路形成主流后反而給查抄提供了利便。
上面列出的這些文件險些都查抄了一遍,多余的就不多說了,最后問題確定在/source/archiver/common/footer.php這個文件上,文件內(nèi)容如下圖:
這個include一下就袒露了。
先到日志里查一下請求這個文件用的GET參數(shù),如下圖:
順勢找到/uc_server/data/tmp/upload753178.jpg這個文件 。
打開后,在最后發(fā)明:
到這里,一切豁然開朗,這是菜刀的后門。
跋文:
從日志來看,三四天以來差不多天天會有一次行動,而每次用完菜刀,會到百度去搜索某一個要害詞,而排第一的正是這個網(wǎng)站,然后再通過百度鏈接來會見網(wǎng)站。可以看出,作惡者的目標是想挾制網(wǎng)站的百度等搜索引擎流量 ,這樣搞一通下來,正是在做測試。可是挾制代碼有問題,因為每次出彈窗的時候,直接打開網(wǎng)站也會彈,也正是因為這樣,每次呈現(xiàn)彈窗不久就又被作惡者去除。最后的結論是,1)木馬好久前就已經(jīng)上傳,可是日志已經(jīng)不在,無法確定是怎么傳上來的;2)此刻搞彈窗的人并不是傳馬的人,很有大概是買來的。