于是拿出自写的webshell查抄东西,查到了这二个文件。
可是入侵被没有竣事,厥后发明网站又被窜改,然后查察日志,发明的内容如下。
可以看到,黑客发明forum.php被删除,返回404之后,用GET方法测试了下class_clouds.php是否存在,返回200后,,开始用POST操纵这个后门。
由于没有把preg_replace添加到查抄函数列表,导致class_clouds.php成了丧家之犬。
在黑客发明class_clouds.php又被删除后,登录乐成了uc_server,如下图
关于暗码,有二种大概性,一是社工,二是之前通过webshell获得了MD5,解出了暗码。
通过uc_server,黑客获得了uc.bak.php。有大概是操作了0day裂痕。
在第一次排除webshell之后,已经对网站做了写入和执行权限的互斥配置,可是由于疏忽,没有打消网站根目次自己的写入权限(自我检修下),导致在根目次下生成了webshell,一般环境下webshell城市生成在隐蔽目次,生成在根目次是黑客迫于无奈,因为其他目次要么没有写权限,要么没有执行权限。
针对上面发明的所有环境都做了妥善处理惩罚,最终黑客终于止步于此。
可以看到,黑客实验会见uc_server/admin.php,可是文件已经更名。然后会见了一次首页,闪人。
在最后审查日志后发明,黑客在几天的时间内,共计用了差异国度的十几个署理IP
94.242.246.23 卢森堡
217.12.204.104 乌克兰
81.89.96.88 德国
188.138.9.49 德国
171.25.193.20 瑞典
194.150.168.95 德国
46.165.250.235 德国
77.247.181.162 荷兰
82.94.251.227 荷兰
176.10.100.229 瑞士
62.236.108.73 芬兰
37.221.162.226 罗马尼亚
122.233.180.9 中国
59.174.44.104 中国
176.10.100.229 瑞士
178.217.187.39 波兰
在黑客的进攻请求傍边,进程清晰明白,多余拖沓的步调很是少,应该是利用了高度自动化的东西实施的,十分追求效率,操纵竣事就闪人,从不闲逛。
而且按照上面的IP发明白这样的一条请求
"GET / HTTP/1.1" 301 5 "http:[email protected]?s=zhizhu"
后头的URL应该是黑客所利用的“打点系统”,在这个打点系统中点击链接进入的客户网站。
百度了下发明这个域名有和菠菜相关的内容
在已往几年中处理惩罚过大量的入侵事件,可是如此执着和高效率的入侵手法在中小型网站中并不多见,以至于在最初有些轻敌。
两篇本文相关文章:
webshell的查杀思路 http://www.server110.com/web_sec/201408/10902.html
web日志中查找webshell的方法 http://www.server110.com/linux_sec/201407/10788.html
在本次事件中总结的几点安详发起:
WEB日志十分须要,在硬盘空间答允的环境下尽大概多的保存日志。
每个处所利用差异的而且随机生成的暗码。
存眷网站措施的裂痕并实时更新补丁。
网站不要利用数据库的root用户,每个网站用单独的用户。
写入和执行权限互斥十分须要。
PHP务必禁用执行呼吁的函数而且配置好open_basedir。
最后是重中之重,网站数据必然要做好备份!
