EqLlyHJ5w6,694hQRgLWm
对入侵网站的一次快速处理案例对入侵网站的一次快速处理案例 1.1.1入侵情况分析 凌晨1点,接到朋友的求助,网站被黑了,访问网站首页会自动定向到一个×××,这个时间点都是该进入梦乡的时间,可是国家正在开会,这个时间点的事情都比较敏感,没有办法,直接开干吧。 1.查看首页代码
图1 首页中的可疑代码 2. Unicode编码转换
图2分析网站被插入链接 3.服务器现状 公司网站发现情况后,服务器前期运维人员已经离职,网站是托管在独立服务器,目前仅仅只有管理员帐号,无法直接进入服务器。在该情况下,迅速开展以下工作: (1)通过已知管理员帐号登录前台和后台进行查看。登录前台可以使用,后台无法使用,怀疑文件被修改或者删除,无法通过后台来查看如何被入侵的。 (2)对目标网站进行漏洞扫描。 (3)查看同IP其它网站。通过查看该IP地址同服务器其它网站,发现服务器上存在4个其它站点,后经询问四个站点均不是公司架设的。怀疑黑客在服务器上架设站点用来进行SEO黑链服务。 4.网站漏洞分析 (1)确认网站系统情况 手工通过robots.txt文件确认网站是由齐博CMS v7版本,这个系统很多漏洞,一看心里就凉了。 (2)发现列目录漏洞 通过手工和扫描判断服务器配置上没有禁止目录浏览,导致服务器所有目录均可以被访问,如图3所示,通过upload_files可以看到很多447字节的php文件,第一感觉就是挂马、黑链创建文件或者是后门文件,后面通过分析一句话后门的大小,一句话后门<?php @eval($_POST['cmd']);?>文件的大小为30字节,跟447字节相差太远,直接排除一句话后门,当然有可能是加密的一句话后门。 图3列目录漏洞 (3)发现本地文件下载漏洞 通过了解齐博cmsv7版本存在的漏洞发现存在一个文件下载漏洞,其漏洞利用为:http://www.*******.org.cn/do/job.php?job=download&url=base64编码文件地址,base64编码文件地址,例如data/config.php需要将最后一个p更换为“<”,例如分别要读取data/config.php、data/uc_config.php、data/mysql_config.php文件,其对应url中的未编码地址应为data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<,利用如下: http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8 http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8 http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8 在浏览器中访问即可下载这些文件,在本地打开即可查看代码,如图4所示,读取到数据库配置是root账号。 图4获取网站敏感文件内容 通过同样的方法读取upload_files/kongzhipin.php文件,其内容如图5所示,典型的seo手法。 图5网站seo黑链代码源文件 (4)获取本地物理地址
图6获取真实物理路径 (5)文件上传及iis解析漏洞
图7文件解析及上传漏洞 (6)数据库导入漏洞
图8数据库导入漏洞 1.1.2服务器第一次安全处理 1.备份当前网站代码及数据库
2.使用webshellkill查找后门文件 (1)查杀后门 个人觉得WebShellKill 这个工具不错,可以自动检测很多已知的后门文件和一些病毒文件,最新版本为2.0.9,其下载地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip,下载后选择需要扫描的目录即可开始查杀,如图9所示,在该站点下找到几百个黑链及后门文件,不看不知道,一看吓一跳,入侵者真狠!对这些可疑文件进行查看和删除。 图9查杀后门文件
图10网站大马 3.没有最黑,只有更黑
图11黑客使用缓存文件高达15G大小 4.删除服务器添加账号及后门文件 (1)通过计算机管理-“本地用户和组”-“用户”,查看计算机上所有的用户,经过朋友的确认,红色框住用户全部为黑客添加账号,如图12所示,共计7个账号,将其删除。 图12黑客添加账号 (2)查看管理员组和对应用户所属文件夹
图13查看管理员账号及其黑客账号配置文件 5.清理服务器后门文件
图14使用杀毒软件对病毒进行查杀处理 实在没有办法只能手工对病毒进行清理。后续可以借助autoruns和processxp等工具对启动项、服务、进程等进行查看,发现无签名,可以采取以下一些办法: (1)将可疑文件直接上报杀毒网站进行引擎查杀。可以将样本直接上报卡巴斯基和360等(https://virusdesk.kaspersky.com/、http://sampleup.sd.360.cn/)更多上报地址请查看http://www.stormcn.cn/post/782.html。 (2)通过百度等搜索引擎搜索名称,查看网上有无相关资料。 (3)对可疑程序做好备份后,将其删除。 (4)顽固病毒需要通过冰刃以及进程管理等工具强行结束进程,然后再删除。 (5)通过CurrPorts(http://www.nirsoft.net/utils/cports.zip)查看当前网络连接程序及其相关情况。 (6)实在不放心就是用抓包程序对服务器进行抓包,查看对外连接。 (7)记得清理shift后门和放大镜等可以利用远程桌面启动的后门,建议将shift、放大镜等程序直接清理或者禁用。 6.更改所有账号及密码
7.恢复网站正常运行
1.1.3服务器第二次安全处理 1.服务器再次出现挂黑链现象
2.手动清理后门文件 (1)再次使用webshellkill工具对站点进行查看。 (2)手工对网站所有php文件进行查看。对网站所有的php文件进行搜索,安装文件大小进行排序,对超过20K以上文件都需要进行查看,如图15所示,定位到大文件目录,一看该文件多半是webshell,如图16所示,打开以后果然是webshell,采取了加密,所以webshellkill无法查杀,将该文件的hash值直接上报给webshellkill工具。 图15定位大文件位置 图16查看文件内容 (3)手工查杀狡猾的后门
图17另外加密的webshell (4)通过分析日志文件定位后门文件。对日志文件中的php文件进行搜索,逐个进行验证,这个可以通过逆火日志分析软件来实现,后续有介绍。 3.寻找首页黑链源代码文件
图18获取黑链源代码文件
1.1.4日志分析和追踪 1.对IIS日志进行手工分析 (1)将IIS日志文件生成一个文件,可以利用命令来实现:cat *.log>alllog.txt (2)对源代码中存在的后门文件进行逐个梳理,整理出文件名称。 (3)在日志中以文件名为关键之进行查看,如图19所示,可以获取曾经访问过该文件的IP地址,这些地址可以用来进行跟踪和案件打击。 图19手工追踪黑客IP地址 2.黑客账号配置文件分析和追踪 (1)获取黑客的QQ号码 通过查看黑客添加的账号下的配置文件,可以获取黑客曾经使用过什么工具,访问过什么站点等信息,如图20所示,黑客曾经在该服务器上登录过。 图20获取黑客访问的QQ号码 (2)获取黑客攻击高校源代码
图21黑客攻击其他目标 2.利用逆火对网站日志进行分析处理 (1)分析黑客攻击IP地址 在虚拟机上安装逆火日志分析软件(该软件已经停止更新),如图22所示,安装完毕后,需要设置网站的url、首页文件和日志文件名称及位置,完毕后即可进行分析,注意如果需要定位黑客,需要在选项中进行配置,将黑客的后门文件名称加入到文件追踪和黑客攻击中。 图22通过日志分析黑客IP地址及其相关行为 (2)对网站进行漏洞分析
1.1.5总结及分析 回顾整个处理过程,看似简单,却非常耗费时间,通过跟圈内朋友交流,跟黑客攻击目标网站进行seo黑链进行处理,就是一场战争,服务器上会有各种木马和webshell,第一次以为自己清理完毕,结果还遗留有加密的webshell以及上传类型的后门,这种后门的清理非常的耗费时间,尤其是在windows下。整个过程有以下一些体会跟大家分享: 1.备份数据库及代码文件到本地或者其它服务器。 2.使用webshellkill自动清理第一遍,对第一遍出现的shell后门要进行登记或者抓图,特别要统计文件时间。 3.利用文件时间对文件进行搜索,对同时间点的文件要进行特别查看。 4.对所有相关文件类型进行搜索,对大个头文件一定要进行手工查看。 5.可以windows操作系统下加载类linux系统对文件内容进行扫描,不放过文件包含后门。 6.对首页挂马的js文件可以这个进行核实,找到源头。 7.将IIS日志文件利用逆火日志分析软件进行分析处理,寻找漏洞和黑客IP。 8.安装杀毒软件,开启防火墙,对服务器进行安全清理和加固,升级系统补丁程序。
|