太刺激!服务器被黑遭攻击,凌晨一点紧急逆袭!

凌晨 1 点,接到朋友的求助,网站被黑了,访问网站首页会自动定向到一个赌博网站,这个时间点都是该进入梦乡的时间,直接开干。
本文分为以下五个部分介绍:

  • 入侵情况分析
  • 服务器第一次安全处理
  • 服务器第二次安全处理
  • 日志分析和追踪
  • 总结及分析

 

一、入侵情况分析

查看首页代码

通过查看首页(index.html/index.php)源代码发现网站存在 3 处编码后的代码,如图 1 所示,分别在 title、meta 属性中加入了代码,对代码文件中的其他代码进行查看,未发现有异常。

图 1:首页中的可疑代码

Unicode 编码转换

从首页中插入的代码来看是 Unicode 编码,将其复制到 Unicode 编码在线解码的网站(http://tool.chinaz.com/tools/unicode.aspx),并选择 Unicode 转 ASCII。

如图 2 所示,解码后的内容为菠菜宣传语,换句话说就是黑链宣传,网站被插入黑链了。

图 2:分析网站被插入链接

服务器现状

公司网站发现情况后,由于服务器前期运维人员已经离职,网站是托管在独立服务器,目前仅仅只有管理员帐号,所以无法直接进入服务器。

在该情况下,迅速开展以下工作:

  • 通过已知管理员帐号登录前台和后台进行查看。登录前台可以使用,后台无法使用,怀疑文件被修改或者删除,无法通过后台来查看如何被入侵的。
  • 对目标网站进行漏洞扫描。
  • 查看同 IP 其他网站。通过查看该 IP 地址同服务器其他网站,发现服务器上存在 4 个其他站点,后经询问 4 个站点均不是公司架设的。怀疑黑客在服务器上架设站点用来进行 SEO 黑链服务。

 

 

网站漏洞分析

确认网站系统情况

手工通过 robots.txt 文件确认网站采用某网站 CMS v7 版本,这个系统很多漏洞,一看心里就凉了。

发现列目录漏洞

通过手工和扫描判断服务器配置上没有禁止目录浏览,导致服务器所有目录均可以被访问。

如图 3 所示,通过 upload_files 可以看到很多 447 字节的 PHP 文件,第一感觉就是挂马、黑链创建文件或者是后门文件。

后面通过分析一句话后门的大小,一句话后门 <?php@eval($_POST['cmd']);?> 文件的大小为 30 字节,跟 447 字节相差太远,直接排除一句话后门,当然有可能是加密的一句话后门。

图 3:列目录漏洞

发现本地文件下载漏洞

通过了解此网站 CMS V7 版本存在的漏洞发现存在一个文件下载漏洞,其漏洞利用为:http://www.*******.org.cn/do/job.php?job=download&url=base64 编码文件地址,base64 编码文件地址。

例如 data/config.php 需要将最后一个 p 更换为“<”,例如分别要读取 data/config.php、data/uc_config.php、data/mysql_config.php 文件。

其对应 url 中的未编码地址应为:data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<,利用如下:

  • http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8
  • http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8
  • http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在浏览器中访问即可下载这些文件,在本地打开即可查看代码,如图 4 所示,读取到数据库配置是 root 账号。

图 4:获取网站敏感文件内容

通过同样的方法读取 upload_files/kongzhipin.php 文件,其内容如图 5 所示,典型的 SEO 手法。

图 5:网站 SEO 黑链代码源文件

获取本地物理地址

通过访问 cache/hack 目录下的 search.php 文件,成功获取网站的真实物理路径。

如图 6 所示,目前有 mysql root 账号和密码,有真实路径,离获取 webshell 已经很近了。

图 6:获取真实物理路径

文件上传及 IIS 解析漏洞

如图 7 所示,可以通过 ckfinder.html 在其上传目录中创建 1.asp 和 1.php 目录,如果服务器存在解析漏洞可以直接获取 webshell。

图 7:文件解析%

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

抱歉,评论已关闭!

// 360自动收录 // 360自动收录