国产午夜片,日本一区二区三区四区公司

對某入侵網(wǎng)站的一次快速處理

2018.03.20

1.1.1入侵情況分析

凌晨1點(diǎn)，接到朋友的求助，網(wǎng)站被黑了，訪問網(wǎng)站首頁會自動定向到一個(gè)×××，這個(gè)時(shí)間點(diǎn)都是該進(jìn)入夢鄉(xiāng)的時(shí)間，可是國家正在開會，這個(gè)時(shí)間點(diǎn)的事情都比較敏感，沒有辦法，直接開干吧。

1.查看首頁代碼

通過查看首頁（index.html/index.php）源代碼發(fā)現(xiàn)網(wǎng)站存在三處編碼后的代碼，如圖1所示，分別在title、meta屬性中加入了代碼，對代碼文件中的其它代碼進(jìn)行查看，未發(fā)現(xiàn)有異常。

圖1 首頁中的可疑代碼

2. Unicode編碼轉(zhuǎn)換

從首頁中插入的代碼來看是Unicode編碼，將其復(fù)制到Unicode編碼在線解碼的網(wǎng)站（http://tool.chinaz.com/tools/unicode.aspx），并選擇Unicode轉(zhuǎn)ASCII，如圖2所示，解碼后的內(nèi)容為菠菜宣傳語，換句話說就是黑鏈宣傳，網(wǎng)站被插入黑鏈了。

圖2分析網(wǎng)站被插入鏈接

3.服務(wù)器現(xiàn)狀

公司網(wǎng)站發(fā)現(xiàn)情況后，服務(wù)器前期運(yùn)維人員已經(jīng)離職，網(wǎng)站是托管在獨(dú)立服務(wù)器，目前僅僅只有管理員賬號，無法直接進(jìn)入服務(wù)器。在該情況下，迅速開展以下工作：

（1）通過已知管理員賬號登錄前臺和后臺進(jìn)行查看。登錄前臺可以使用，后臺無法使用，懷疑文件被修改或者刪除，無法通過后臺來查看如何被入侵的。

（2）對目標(biāo)網(wǎng)站進(jìn)行漏洞掃描。

（3）查看同IP其它網(wǎng)站。通過查看該IP地址同服務(wù)器其它網(wǎng)站，發(fā)現(xiàn)服務(wù)器上存在4個(gè)其它站點(diǎn)，后經(jīng)詢問四個(gè)站點(diǎn)均不是公司架設(shè)的。懷疑黑客在服務(wù)器上架設(shè)站點(diǎn)用來進(jìn)行SEO黑鏈服務(wù)。

4.網(wǎng)站漏洞分析

（1）確認(rèn)網(wǎng)站系統(tǒng)情況

手工通過robots.txt文件確認(rèn)網(wǎng)站是由齊博CMS v7版本，這個(gè)系統(tǒng)很多漏洞，一看心里就涼了。

（2）發(fā)現(xiàn)列目錄漏洞

通過手工和掃描判斷服務(wù)器配置上沒有禁止目錄瀏覽，導(dǎo)致服務(wù)器所有目錄均可以被訪問，如圖3所示，通過upload_files可以看到很多447字節(jié)的php文件，第一感覺就是掛馬、黑鏈創(chuàng)建文件或者是后門文件，后面通過分析一句話后門的大小，一句話后門文件的大小為30字節(jié)，跟447字節(jié)相差太遠(yuǎn)，直接排除一句話后門，當(dāng)然有可能是加密的一句話后門。

圖3列目錄漏洞

（3）發(fā)現(xiàn)本地文件下載漏洞

通過了解齊博cmsv7版本存在的漏洞發(fā)現(xiàn)存在一個(gè)文件下載漏洞，其漏洞利用為：http://www.*******.org.cn/do/job.php?job=download&url=base64編碼文件地址，base64編碼文件地址，例如data/config.php需要將最后一個(gè)p更換為“<”，例如分別要讀取data><、data><、data><>

http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在瀏覽器中訪問即可下載這些文件，在本地打開即可查看代碼，如圖4所示，讀取到數(shù)據(jù)庫配置是root賬號。

圖4獲取網(wǎng)站敏感文件內(nèi)容

通過同樣的方法讀取upload_files/kongzhipin.php文件，其內(nèi)容如圖5所示，典型的seo手法。

圖5網(wǎng)站seo黑鏈代碼源文件

（4）獲取本地物理地址

通過訪問cache/hack目錄下的search.php文件，成功獲取網(wǎng)站的真實(shí)物理路徑，如圖6所示，目前有mysql root賬號和密碼，有真實(shí)路徑，離獲取webshell已經(jīng)很近了。

圖6獲取真實(shí)物理路徑

（5）文件上傳及iis解析漏洞

如圖7所示，可以通過ckfinder.html在其上傳目錄中創(chuàng)建1.asp和1.php目錄，如果服務(wù)器存在解析漏洞可以直接獲取webshell。

圖7文件解析及上傳漏洞

（6）數(shù)據(jù)庫導(dǎo)入漏洞

如圖8所示，通過文件目錄漏洞發(fā)現(xiàn)在數(shù)據(jù)庫備份目錄存有數(shù)據(jù)庫備份文件，前期通過文件下載漏洞獲取了數(shù)據(jù)庫用戶名和密碼，在這里輸入后，可以使用舊數(shù)據(jù)覆蓋新數(shù)據(jù)。在實(shí)際測試時(shí)一定要小心，一旦使用該漏洞進(jìn)行測試，對數(shù)據(jù)庫將是毀滅性的，數(shù)據(jù)庫導(dǎo)入一般都是先drop，后插入，因此執(zhí)行此操作后，能成功恢復(fù)數(shù)據(jù)的可能性非常低，建議網(wǎng)站管理人員定期備份數(shù)據(jù)庫以及代碼文件！

圖8數(shù)據(jù)庫導(dǎo)入漏洞

1.1.2服務(wù)器第一次安全處理

1.備份當(dāng)前網(wǎng)站代碼及數(shù)據(jù)庫

最重要的事情就是備份，備份數(shù)據(jù)庫及其代碼文件到本地，注意是備份當(dāng)前的數(shù)據(jù)庫和源代碼，如果是要報(bào)案，則最好使用備份服務(wù)器恢復(fù)網(wǎng)站和數(shù)據(jù)，被入侵服務(wù)器留好數(shù)據(jù)，便于打擊和取證，備份源代碼和數(shù)據(jù)庫可以用在后面進(jìn)行分析，對黑客進(jìn)行追蹤和定位。

2.使用webshellkill查找后門文件

（1）查殺后門

個(gè)人覺得WebShellKill 這個(gè)工具不錯(cuò)，可以自動檢測很多已知的后門文件和一些病毒文件，最新版本為2.0.9，其下載地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip，下載后選擇需要掃描的目錄即可開始查殺，如圖9所示，在該站點(diǎn)下找到幾百個(gè)黑鏈及后門文件，不看不知道，一看嚇一跳，入侵者真狠！對這些可疑文件進(jìn)行查看和刪除。

圖9查殺后門文件

（2）網(wǎng)站大馬

如圖10所示，在服務(wù)器上發(fā)現(xiàn)多個(gè)webshell大馬，該webshell可以對文件、數(shù)據(jù)庫等進(jìn)行操作，功能強(qiáng)大。

圖10網(wǎng)站大馬

3.沒有最黑，只有更黑

通過對網(wǎng)站進(jìn)行大小查看，一個(gè)普通的網(wǎng)站竟然超過20G，明顯不正常，如圖11所示，在data_cache中，黑客用來做seo竟然高達(dá)21.8552萬個(gè)頁面，共計(jì)15.3G。

圖11黑客使用緩存文件高達(dá)15G大小

4.刪除服務(wù)器添加賬號及后門文件

（1）通過計(jì)算機(jī)管理-“本地用戶和組”-“用戶”，查看計(jì)算機(jī)上所有的用戶，經(jīng)過朋友的確認(rèn)，紅色框住用戶全部為黑客添加賬號，如圖12所示，共計(jì)7個(gè)賬號，將其刪除。

圖12黑客添加賬號

（2）查看管理員組和對應(yīng)用戶所屬文件夾

如圖13所示，通過命令查看管理員及用戶賬號，并查看當(dāng)前用戶的配置文件，在其配置文件中包含一些黑客攻擊工具，將這些文件全部打包壓縮，然后刪除用戶及其配置文件。

圖13查看管理員賬號及其黑客賬號配置文件

5.清理服務(wù)器后門文件

對于服務(wù)器后門文件清理就要靠個(gè)人經(jīng)驗(yàn)和技術(shù)，一方面可以借助安裝360等殺毒軟件來進(jìn)行自動查殺，如圖14所示，系統(tǒng)盤下一堆病毒。通過殺毒軟件的查殺可以清理第一批，對于被入侵過的服務(wù)器，建議是重做系統(tǒng)！

圖14使用殺毒軟件對病毒進(jìn)行查殺處理

實(shí)在沒有辦法只能手工對病毒進(jìn)行清理。后續(xù)可以借助autoruns和processxp等工具對啟動項(xiàng)、服務(wù)、進(jìn)程等進(jìn)行查看，發(fā)現(xiàn)無簽名，可以采取以下一些辦法：

（1）將可疑文件直接上報(bào)殺毒網(wǎng)站進(jìn)行引擎查殺?？梢詫颖局苯由蠄?bào)卡巴斯基和360等（https://virusdesk.kaspersky.com/、http://sampleup.sd.#/）更多上報(bào)地址請查看http://www.stormcn.cn/post/782.html。

（2）通過百度等搜索引擎搜索名稱，查看網(wǎng)上有無相關(guān)資料。

（3）對可疑程序做好備份后，將其刪除。

（4）頑固病毒需要通過冰刃以及進(jìn)程管理等工具強(qiáng)行結(jié)束進(jìn)程，然后再刪除。

（5）通過CurrPorts（http://www.nirsoft.net/utils/cports.zip）查看當(dāng)前網(wǎng)絡(luò)連接程序及其相關(guān)情況。

（6）實(shí)在不放心就是用抓包程序?qū)Ψ?wù)器進(jìn)行抓包，查看對外連接。

（7）記得清理shift后門和放大鏡等可以利用遠(yuǎn)程桌面啟動的后門，建議將shift、放大鏡等程序直接清理或者禁用。

6.更改所有賬號及密碼

至此第一段落網(wǎng)站入侵清理完畢，對所有網(wǎng)站使用的賬號及密碼進(jìn)行更改，更改所有密碼，包括遠(yuǎn)程桌面，ftp、ssh、后臺管理、數(shù)據(jù)庫賬號密碼等，由于黑客入侵過，可能已經(jīng)下載數(shù)據(jù)庫和獲取所有相關(guān)密碼，因此需要全部進(jìn)行更改。

7.恢復(fù)網(wǎng)站正常運(yùn)行

對網(wǎng)站進(jìn)行恢復(fù)，使其正常運(yùn)行，同時(shí)開啟防火墻，對外僅僅開放80端口和遠(yuǎn)程管理端口。

1.1.3服務(wù)器第二次安全處理

1.服務(wù)器再次出現(xiàn)掛黑鏈現(xiàn)象

過了兩天服務(wù)器再次出現(xiàn)問題，發(fā)現(xiàn)網(wǎng)站再次出現(xiàn)黑鏈現(xiàn)象，百度搜索該網(wǎng)站域名，出現(xiàn)結(jié)果一訪問就指向×××。

2.手動清理后門文件

（1）再次使用webshellkill工具對站點(diǎn)進(jìn)行查看。

（2）手工對網(wǎng)站所有php文件進(jìn)行查看。對網(wǎng)站所有的php文件進(jìn)行搜索，安裝文件大小進(jìn)行排序，對超過20K以上文件都需要進(jìn)行查看，如圖15所示，定位到大文件目錄，一看該文件多半是webshell，如圖16所示，打開以后果然是webshell，采取了加密，所以webshellkill無法查殺，將該文件的hash值直接上報(bào)給webshellkill工具。

圖15定位大文件位置

圖16查看文件內(nèi)容

（3）手工查殺狡猾的后門

對網(wǎng)站的文件逐個(gè)進(jìn)行查看，文件中有加密字符、亂碼的，多半是webshell，如圖17所示，另外還發(fā)現(xiàn)存在文件上傳頁面，這種通過工具很難查殺出來。

圖17另外加密的webshell

（4）通過分析日志文件定位后門文件。對日志文件中的php文件進(jìn)行搜索，逐個(gè)進(jìn)行驗(yàn)證，這個(gè)可以通過逆火日志分析軟件來實(shí)現(xiàn)，后續(xù)有介紹。

3.尋找首頁黑鏈源代碼文件

對于網(wǎng)站首頁的黑鏈源代碼文件，通過搜索百度等均未發(fā)現(xiàn)有價(jià)值的處理意見，后面通過分析，其代碼一定有加載出，對每一個(gè)js文件進(jìn)行源頭查看，最終獲取一個(gè)編輯器加載的node.js文件，其內(nèi)容如圖18所示，明顯就是這個(gè)來實(shí)現(xiàn)的，將其刪除！

圖18獲取黑鏈源代碼文件

第二段落的處理完畢后，網(wǎng)站恢復(fù)正常運(yùn)行，同時(shí)修補(bǔ)了發(fā)現(xiàn)的漏洞，以及部分明顯程序漏洞。

1.1.4日志分析和追蹤

1.對IIS日志進(jìn)行手工分析

（1）將IIS日志文件生成一個(gè)文件，可以利用命令來實(shí)現(xiàn)：cat *.log>alllog.txt

（2）對源代碼中存在的后門文件進(jìn)行逐個(gè)梳理，整理出文件名稱。

（3）在日志中以文件名為關(guān)鍵之進(jìn)行查看，如圖19所示，可以獲取曾經(jīng)訪問過該文件的IP地址，這些地址可以用來進(jìn)行跟蹤和案件打擊。

圖19手工追蹤黑客IP地址

2.黑客賬號配置文件分析和追蹤

（1）獲取黑客的QQ號碼

通過查看黑客添加的賬號下的配置文件，可以獲取黑客曾經(jīng)使用過什么工具，訪問過什么站點(diǎn)等信息，如圖20所示，黑客曾經(jīng)在該服務(wù)器上登錄過。

圖20獲取黑客訪問的QQ號碼

（2）獲取黑客攻擊高校源代碼

在黑客當(dāng)前賬號下，還發(fā)現(xiàn)三個(gè)高校站點(diǎn)壓縮包，如圖21所示。

圖21黑客攻擊其他目標(biāo)

2.利用逆火對網(wǎng)站日志進(jìn)行分析處理

（1）分析黑客攻擊IP地址

在虛擬機(jī)上安裝逆火日志分析軟件（該軟件已經(jīng)停止更新），如圖22所示，安裝完畢后，需要設(shè)置網(wǎng)站的url、首頁文件和日志文件名稱及位置，完畢后即可進(jìn)行分析，注意如果需要定位黑客，需要在選項(xiàng)中進(jìn)行配置，將黑客的后門文件名稱加入到文件追蹤和黑客攻擊中。

圖22通過日志分析黑客IP地址及其相關(guān)行為

（2）對網(wǎng)站進(jìn)行漏洞分析

如果日志文件足夠多，則可以通過統(tǒng)計(jì)分析，在訪問資源、錯(cuò)誤等內(nèi)容中去發(fā)現(xiàn)存在的漏洞和攻擊行為，這些分析將有助于修補(bǔ)漏洞和發(fā)現(xiàn)攻擊行為，對存在問題進(jìn)行修復(fù)。

1.1.5總結(jié)及分析

回顧整個(gè)處理過程，看似簡單，卻非常耗費(fèi)時(shí)間，通過跟圈內(nèi)朋友交流，跟黑客攻擊目標(biāo)網(wǎng)站進(jìn)行seo黑鏈進(jìn)行處理，就是一場戰(zhàn)爭，服務(wù)器上會有各種木馬和webshell，第一次以為自己清理完畢，結(jié)果還遺留有加密的webshell以及上傳類型的后門，這種后門的清理非常的耗費(fèi)時(shí)間，尤其是在windows下。整個(gè)過程有以下一些體會跟大家分享：

1.備份數(shù)據(jù)庫及代碼文件到本地或者其它服務(wù)器。

2.使用webshellkill自動清理第一遍，對第一遍出現(xiàn)的shell后門要進(jìn)行登記或者抓圖，特別要統(tǒng)計(jì)文件時(shí)間。

3.利用文件時(shí)間對文件進(jìn)行搜索，對同時(shí)間點(diǎn)的文件要進(jìn)行特別查看。

4.對所有相關(guān)文件類型進(jìn)行搜索，對大個(gè)頭文件一定要進(jìn)行手工查看。

5.可以windows操作系統(tǒng)下加載類linux系統(tǒng)對文件內(nèi)容進(jìn)行掃描，不放過文件包含后門。

6.對首頁掛馬的js文件可以這個(gè)進(jìn)行核實(shí)，找到源頭。

7.將IIS日志文件利用逆火日志分析軟件進(jìn)行分析處理，尋找漏洞和黑客IP。

8．安裝殺毒軟件，開啟防火墻，對服務(wù)器進(jìn)行安全清理和加固，升級系統(tǒng)補(bǔ)丁程序。