實際操作:網站木馬後面排查
晚上11點多,有一個做主機業務的朋友,聯絡到我說,他一客戶的網站,被掛彈窗,彈的是一成*人用品的網站。
網站大概情況,Linode東京高配的VPS,CentOS系統,LNMP環境,跑的Discuz X 2.5,訪問量不小。
開始先用下面這樣的命令查詢
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函式都查了一遍,並沒有發現可疑檔案。
但是朋友告之,網站最近二天都被改動過,不定時出現彈窗,然後過不久又消失。
以此判斷,作惡的人一定會訪問到webshell,通過webshell修改網站上的檔案 。
萬幸,伺服器上保留了大概三天的Nginx日誌。
把日誌檔案整理了下,執行下面的命令
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
結果如下圖:
這個命令的作用是把日誌裡被POST方式請求的檔案全部列出來。
從webshell流行起來開始,幾乎所有的webshell都以POST方式來提交操作請求,目的就是把引數在日誌裡隱藏掉,因為通常日誌並不會記錄POST引數。
但是物極必反,這一思路形成主流後反而給檢查提供了方便。
上面列出的這些檔案幾乎都檢查了一遍,多餘的就不多說了,最後問題確定在/source/archiver/common/footer.php這個檔案上,檔案內容如下圖:
這個include一下就暴露了。
先到日誌裡查一下請求這個檔案用的GET引數,如下圖:
順勢找到/uc_server/data/tmp/upload753178.jpg這個檔案 。
開啟後,在最後發現:
到這裡,一切豁然開朗,這是菜刀的後門。
後記:
從日誌來看,三四天以來差不多每天會有一次動作,而每次用完菜刀,會到百度去搜尋某一個關鍵詞,而排第一的正是這個網站,然後再通過百度連結來訪問網站。可以看出,作惡者的目的是想劫持網站的百度等搜尋引擎流量 ,這樣搞一通下來,正是在做測試。但是劫持程式碼有問題,因為每次出彈窗的時候,直接開啟網站也會彈,也正是因為這樣,每次出現彈窗不久就又被作惡者去除。最後的結論是,1)木馬很久前就已經上傳,但是日誌已經不在,無法確定是怎麼傳上來的;2)現在搞彈窗的人並不是傳馬的人,很有可能是買來的。
網站大概情況,Linode東京高配的VPS,CentOS系統,LNMP環境,跑的Discuz X 2.5,訪問量不小。
開始先用下面這樣的命令查詢
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函式都查了一遍,並沒有發現可疑檔案。
但是朋友告之,網站最近二天都被改動過,不定時出現彈窗,然後過不久又消失。
以此判斷,作惡的人一定會訪問到webshell,通過webshell修改網站上的檔案 。
萬幸,伺服器上保留了大概三天的Nginx日誌。
把日誌檔案整理了下,執行下面的命令
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
結果如下圖:
這個命令的作用是把日誌裡被POST方式請求的檔案全部列出來。
從webshell流行起來開始,幾乎所有的webshell都以POST方式來提交操作請求,目的就是把引數在日誌裡隱藏掉,因為通常日誌並不會記錄POST引數。
但是物極必反,這一思路形成主流後反而給檢查提供了方便。
上面列出的這些檔案幾乎都檢查了一遍,多餘的就不多說了,最後問題確定在/source/archiver/common/footer.php這個檔案上,檔案內容如下圖:
這個include一下就暴露了。
先到日誌裡查一下請求這個檔案用的GET引數,如下圖:
順勢找到/uc_server/data/tmp/upload753178.jpg這個檔案 。
開啟後,在最後發現:
到這裡,一切豁然開朗,這是菜刀的後門。
後記:
從日誌來看,三四天以來差不多每天會有一次動作,而每次用完菜刀,會到百度去搜尋某一個關鍵詞,而排第一的正是這個網站,然後再通過百度連結來訪問網站。可以看出,作惡者的目的是想劫持網站的百度等搜尋引擎流量 ,這樣搞一通下來,正是在做測試。但是劫持程式碼有問題,因為每次出彈窗的時候,直接開啟網站也會彈,也正是因為這樣,每次出現彈窗不久就又被作惡者去除。最後的結論是,1)木馬很久前就已經上傳,但是日誌已經不在,無法確定是怎麼傳上來的;2)現在搞彈窗的人並不是傳馬的人,很有可能是買來的。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29443697/viewspace-1242340/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 記錄一次木馬排查
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 伺服器中了木馬後門如何排查定時任務計劃伺服器
- 全球網際網路最強木馬:Sinowal被曝光
- 安全公司:木馬程式仍是網際網路上最主要威脅
- 網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑網站
- 多家高校網站被掛馬使用者應小心QQ盜號木馬網站
- 【網站安全】網站被掛木馬與777許可權的奧妙網站
- 雲伺服器遭到駭客入侵植入木馬病毒排查過程伺服器
- 病毒木馬釣魚網站肉雞等技術的正向利用網站
- 怎麼清理webshell木馬後門檔案Webshell
- 伺服器SSH後門木馬查殺伺服器
- 警惕木馬Dropper病毒連結非法網站(轉)網站
- 福建574政府網站被篡改 近6萬主機被木馬控制網站
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 大神破解木馬APP看到最後笑噴了APP
- Kindeditor 漏洞導致網站被植入木馬檔案的解決辦法網站
- 金山網站揭黑幕 竟遭惡性木馬團伙劫持3小時網站
- WPS騷操作之嵌入ole物件繫結木馬物件
- 木馬蠕蟲變種走後門 會盜取網遊密碼(轉)密碼
- 網路資源重汙染:超過20家知名下載站植入Killis木馬
- 騰訊安全:2017年度網際網路安全報告 “炒幣”致挖礦木馬盛行
- 網管軟體禁止網購木馬偷樑換柱
- 快速定位挖礦木馬 !
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- 安卓現盜號木馬威脅網銀盜刷安卓
- “大灰狼”遠控木馬分析及幕後真兇調查
- 網站安全問題針對一句話木馬函式的普析與防範網站函式
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- iexpress全力打造“免檢”木馬Express
- 遭遇 木馬 srpcss.dllRPCCSS
- 木馬問題解決方案
- 教你幾招識別和防禦Web網頁木馬Web網頁