网站或许环境,Linode东京高配的VPS,CentOS系统,LNMP情况,跑的Discuz X 2.5,会见量不小。
开始先用下面这样的呼吁查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函数都查了一遍,并没有发明可疑文件。
可是伴侣告之,网站最近二天都被窜悔改,,不按时呈现弹窗,然后过不久又消失。
以此判定,作恶的人必然会会见到webshell,通过webshell修改网站上的文件 。
万幸,处事器上保存了或许三天的Nginx日志。
把日志文件整理了下,执行下面的呼吁
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
功效如下图:
这个呼吁的浸染是把日志里被POST方法请求的文件全部列出来。
从webshell风行起来开始,险些所有的webshell都以POST方法来提交操纵请求,目标就是把参数在日志里埋没掉,因为凡是日志并不会记录POST参数。
可是物极必反,这一思路形成主流后反而给查抄提供了利便。
上面列出的这些文件险些都查抄了一遍,多余的就不多说了,最后问题确定在/source/archiver/common/footer.php这个文件上,文件内容如下图:
这个include一下就袒露了。
先到日志里查一下请求这个文件用的GET参数,如下图:
顺势找到/uc_server/data/tmp/upload753178.jpg这个文件 。
打开后,在最后发明:
到这里,一切豁然开朗,这是菜刀的后门。
跋文:
从日志来看,三四天以来差不多天天会有一次行动,而每次用完菜刀,会到百度去搜索某一个要害词,而排第一的正是这个网站,然后再通过百度链接来会见网站。可以看出,作恶者的目标是想挟制网站的百度等搜索引擎流量 ,这样搞一通下来,正是在做测试。可是挟制代码有问题,因为每次出弹窗的时候,直接打开网站也会弹,也正是因为这样,每次呈现弹窗不久就又被作恶者去除。最后的结论是,1)木马好久前就已经上传,可是日志已经不在,无法确定是怎么传上来的;2)此刻搞弹窗的人并不是传马的人,很有大概是买来的。
