歡迎光臨
每天分享高質量文章

太刺激!伺服器被黑遭攻擊,凌晨一點緊急逆襲!

來自:51CTO技術棧(微訊號:blog51cto)

作者:陳小兵

凌晨 1 點,接到朋友的求助,網站被黑了,訪問網站首頁會自動定向到一個賭博網站,這個時間點都是該進入夢鄉的時間,直接開乾。

本文分為以下五個部分介紹:

  • 入侵情況分析

  • 伺服器第一次安全處理

  • 伺服器第二次安全處理

  • 日誌分析和追蹤

  • 總結及分析

入侵情況分析

檢視首頁程式碼

透過檢視首頁(index.html/index.php)原始碼發現網站存在 3 處編碼後的程式碼,如圖 1 所示,分別在 title、meta 屬性中加入了程式碼,對程式碼檔案中的其他程式碼進行檢視,未發現有異常。

圖 1:首頁中的可疑程式碼

Unicode 編碼轉換

從首頁中插入的程式碼來看是 Unicode 編碼,將其複製到 Unicode 編碼線上解碼的網站(http://tool.chinaz.com/tools/unicode.aspx),並選擇 Unicode 轉 ASCII。

如圖 2 所示,解碼後的內容為菠菜宣傳語,換句話說就是黑鏈宣傳,網站被插入黑鏈了。

圖 2:分析網站被插入連結

伺服器現狀

公司網站發現情況後,由於伺服器前期運維人員已經離職,網站是託管在獨立伺服器,目前僅僅只有管理員帳號,所以無法直接進入伺服器。

在該情況下,迅速開展以下工作:

  • 透過已知管理員帳號登入前臺和後臺進行檢視。登入前臺可以使用,後臺無法使用,懷疑檔案被修改或者刪除,無法透過後臺來檢視如何被入侵的。

  • 對標的網站進行漏洞掃描。

  • 檢視同 IP 其他網站。透過檢視該 IP 地址同伺服器其他網站,發現伺服器上存在 4 個其他站點,後經詢問 4 個站點均不是公司架設的。懷疑駭客在伺服器上架設站點用來進行 SEO 黑鏈服務。

網站漏洞分析

確認網站系統情況

手工透過 robots.txt 檔案確認網站採用某網站 CMS v7 版本,這個系統很多漏洞,一看心裡就涼了。

發現列目錄漏洞

透過手工和掃描判斷伺服器配置上沒有禁止目錄瀏覽,導致伺服器所有目錄均可以被訪問。

如圖 3 所示,透過 upload_files 可以看到很多 447 位元組的 PHP 檔案,第一感覺就是掛馬、黑鏈建立檔案或者是後門檔案。

後面透過分析一句話後門的大小,一句話後門  檔案的大小為 30 位元組,跟 447 位元組相差太遠,直接排除一句話後門,當然有可能是加密的一句話後門。

圖 3:列目錄漏洞

發現本地檔案下載漏洞

透過瞭解此網站 CMS V7 版本存在的漏洞發現存在一個檔案下載漏洞,其漏洞利用為:http://www.*******.org.cn/do/job.php?job=download&url;=base64 編碼檔案地址,base64 編碼檔案地址。

例如 data/config.php 需要將最後一個 p 更換為“data/config.php、data/uc_config.php、data/mysql_config.php 檔案。

其對應 url 中的未編碼地址應為:data/config.ph,利用如下:

  • http://www.****.org.cn/do/job.php?job=download&url;=ZGF0YS9jb25maWcucGg8

  • http://www.****.org.cn/do/job.php?job=download&url;=ZGF0YS91Y19jb25maWcucGg8

  • http://www.****.org.cn/do/job.php?job=download&url;=ZGF0YS9teXNxbF9jb25maWcucGg8

在瀏覽器中訪問即可下載這些檔案,在本地開啟即可檢視程式碼,如圖 4 所示,讀取到資料庫配置是 root 賬號。

圖 4:獲取網站敏感檔案內容

透過同樣的方法讀取 upload_files/kongzhipin.php 檔案,其內容如圖 5 所示,典型的 SEO 手法。

圖 5:網站 SEO 黑鏈程式碼源檔案

獲取本地物理地址

透過訪問 cache/hack 目錄下的 search.php 檔案,成功獲取網站的真實物理路徑。

如圖 6 所示,目前有 mysql root 賬號和密碼,有真實路徑,離獲取 webshell 已經很近了。

圖 6:獲取真實物理路徑

檔案上傳及 IIS 解析漏洞

如圖 7 所示,可以透過 ckfinder.html 在其上傳目錄中建立 1.asp 和 1.php 目錄,如果伺服器存在解析漏洞可以直接獲取 webshell。

圖 7:檔案解析及上傳漏洞

資料庫匯入漏洞

如圖 8 所示,透過檔案目錄漏洞發現在資料庫備份目錄存有資料庫備份檔案,前期透過檔案下載漏洞獲取了資料庫使用者名稱和密碼,在這裡輸入後,可以使用舊資料改寫新資料。

在實際測試時一定要小心,一旦使用該漏洞進行測試,對資料庫將是毀滅性的,資料庫匯入一般都是先 drop,後插入。

因此執行此操作後,能成功恢復資料的可能性非常低,建議網站管理人員定期備份資料庫以及程式碼檔案!

圖 8:資料庫匯入漏洞

伺服器第一次安全處理

備份當前網站程式碼及資料庫

最重要的事情就是備份,備份資料庫及其程式碼檔案到本地,註意是備份當前的資料庫和原始碼。

如果是要報案,則最好使用備份伺服器恢復網站和資料,被入侵伺服器留好資料,便於打擊和取證,備份原始碼和資料庫可以用在後面進行分析,對駭客進行追蹤和定位。

使用 WebShellKill 查詢後門檔案

查殺後門

個人覺得 WebShellKill 這個工具不錯,可以自動檢測很多已知的後門檔案和一些病毒檔案,它的最新版本是 2.0.9。

下載地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip

下載後選擇需要掃描的目錄即可開始查殺,如圖 9 所示,在該站點下找到幾百個黑鏈及後門檔案,不看不知道,一看嚇一跳,入侵者真狠!對這些可疑檔案進行檢視和刪除。

圖 9:查殺後門檔案

網站大馬

如圖 10 所示,在伺服器上發現多個 webshell 大馬,該 webshell 可以對檔案、資料庫等進行操作,功能強大。

圖 10:網站大馬

沒有最黑,只有更黑

透過對網站進行大小檢視,一個普通的網站竟然超過 20G,明顯不正常,如圖 11 所示,在 data_cache 中,駭客用來做 SEO 竟然高達 21.8552 萬個頁面,共計 15.3G。

圖 11:駭客使用快取檔案高達 15G 大小

刪除伺服器新增賬號及後門檔案

透過計算機管理-“本地使用者和組”-“使用者”,檢視計算機上所有的使用者

經過朋友的確認,紅色框住使用者全部為駭客新增賬號,如圖 12 所示,共計 7 個賬號,將其刪除。

圖 12:駭客新增賬號

檢視管理員組和對應使用者所屬檔案夾

如圖 13 所示,透過命令檢視管理員及使用者賬號,並檢視當前使用者的配置檔案,在其配置檔案中包含一些駭客攻擊工具,將這些檔案全部打包壓縮,然後刪除使用者及其配置檔案。

圖 13:檢視管理員賬號及其駭客賬號配置檔案

清理伺服器後門檔案

對於伺服器後門檔案清理就要靠個人經驗和技術,一方面可以藉助安裝 360 等防毒軟體來進行自動查殺,如圖 14 所示,系統盤下一堆病毒。

透過防毒軟體的查殺可以清理第一批,對於被入侵過的伺服器,建議是重做系統!

圖 14:使用防毒軟體對病毒進行查殺處理

實在沒有辦法只能手工對病毒進行清理。後續可以藉助 autoruns 和 processxp 等工具對啟動項、服務、行程等進行檢視。

如果發現無簽名,可以採取以下一些辦法:

  • 將可疑檔案直接上報防毒網站進行引擎查殺。可以將樣本直接上報卡巴斯基和 360 等平臺。(https://virusdesk.kaspersky.com/、http://sampleup.sd.360.cn/)

    更多上報地址請檢視http://www.stormcn.cn/post/782.html。

  • 透過百度等搜尋引擎搜尋名稱,檢視網上有無相關資料。

  • 對可疑程式做好備份後,將其刪除。

  • 頑固病毒需要透過冰刃以及行程管理等工具強行結束行程,然後再刪除。

  • 透過 CurrPorts(http://www.nirsoft.net/utils/cports.zip)檢視當前網路連線程式及其相關情況。

  • 實在不放心就要用抓包程式對伺服器進行抓包,檢視對外連線。

  • 記得清理 shift 後門和放大鏡等可以利用遠端桌面啟動的後門,建議將 shift、放大鏡等程式直接清理或者禁用。

更改所有賬號及密碼

至此第一段落網站入侵清理完畢,對所有網站使用的賬號及密碼進行更改,更改所有密碼,包括遠端桌面,ftp、ssh、後臺管理、資料庫賬號密碼等。

由於駭客入侵過,可能已經下載資料庫和獲取所有相關密碼,因此需要全部進行更改。

恢復網站正常執行

對網站進行恢復,使其正常執行,同時開啟防火牆,對外僅僅開放 80 埠和遠端管理埠。

伺服器第二次安全處理

伺服器再次出現掛黑鏈現象

過了兩天伺服器再次出現問題,發現網站再次出現黑鏈現象,百度搜索該網站域名,出現結果一訪問就指向賭博網站。

手動清理後門檔案

再次使用 WebShellKill 工具對站點進行檢視

手工對網站所有 PHP 檔案進行檢視

對網站所有的 PHP 檔案進行搜尋,安裝檔案大小進行排序,對超過 20K 以上檔案都需要進行檢視。

如圖 15 所示,定位到大檔案目錄,一看該檔案多半是 webshell,如圖 16 所示,開啟以後果然是 webshell,採取了加密,所以 WebShellKill 無法查殺,將該檔案的 hash 值直接上報給 WebShellKill 工具。

圖 15:定位大檔案位置

圖 16:檢視檔案內容

手工查殺狡猾的後門

對網站的檔案逐個進行檢視,檔案中有加密字元、亂碼的,多半是 webshell。

如圖 17 所示,另外還發現存在檔案上傳頁面,這種透過工具很難查殺出來。

圖 17:另外加密的 webshell

透過分析日誌檔案定位後門檔案

對日誌檔案中的 php 檔案進行搜尋,逐個進行驗證,這個可以透過逆火日誌分析軟體來實現,後續有介紹。

尋找首頁黑鏈原始碼檔案

對於網站首頁的黑鏈原始碼檔案,透過搜尋百度等均未發現有價值的處理意見,後面透過分析,其程式碼一定有載入出來。

對每一個 js 檔案進行源頭檢視,最終獲取一個編輯器載入的 node.js 檔案,其內容如圖 18 所示,明顯就是這個來實現的,將其刪除!

圖 18:獲取黑鏈原始碼檔案

第二段落的處理完畢後,網站恢復正常執行,同時修補了發現的漏洞,以及部分明顯程式漏洞。

日誌分析和追蹤

對 IIS 日誌進行手工分析

  • 將 IIS 日誌檔案生成一個檔案,可以利用命令來實現:cat *.log>alllog.txt

  • 對原始碼中存在的後門檔案進行逐個梳理,整理出檔案名稱。

  • 在日誌中以檔案名為關鍵字進行檢視,如圖 19 所示,可以獲取曾經訪問過該檔案的 IP 地址,這些地址可以用來進行跟蹤和案件打擊。

圖 19:手工追蹤駭客 IP 地址

駭客賬號配置檔案分析和追蹤

獲取駭客的 QQ 號碼

透過檢視駭客新增的賬號下的配置檔案,可以獲取駭客曾經使用過什麼工具,訪問過什麼站點等資訊,如圖 20 所示,駭客曾經在該伺服器上登入過。

圖 20:獲取駭客訪問的 QQ 號碼

獲取駭客攻擊高校原始碼

在駭客當前賬號下,還發現三個高校站點壓縮包,如圖 21 所示。

圖 21:駭客攻擊其他標的

利用逆火對網站日誌進行分析處理

分析駭客攻擊 IP 地址

在虛擬機器上安裝逆火日誌分析軟體(該軟體已經停止更新),如圖 22 所示,安裝完畢後,需要設定網站的 url、首頁檔案和日誌檔案名稱及位置,完畢後即可進行分析。

這裡需要註意的是如果需要定位駭客,需要在選項中進行配置,將駭客的後門檔案名稱加入到檔案追蹤和駭客攻擊中。

圖 22:透過日誌分析駭客 IP 地址及其相關行為

對網站進行漏洞分析

如果日誌檔案足夠多,則可以透過統計分析,在訪問資源、錯誤等內容中去發現存在的漏洞和攻擊行為,這些分析將有助於修補漏洞和發現攻擊行為,對存在問題進行修複。

總結及分析

回顧整個處理過程,看似簡單,卻非常耗費時間,透過跟圈內朋友交流,我們跟駭客攻擊標的網站進行 SEO 黑鏈處理,就是一場戰爭。

伺服器上會有各種木馬和 webshell,第一次以為自己清理完畢,結果還遺留有加密的 webshell 以及上傳型別的後門,這種後門的清理非常的耗費時間,尤其是在 Windows 下。

整個過程有以下一些體會跟大家分享:

  • 備份資料庫及程式碼檔案到本地或者其他伺服器。

  • 使用 WebShellKill 自動清理第一遍,對第一遍出現的 shell 後門要進行等級或者抓圖,特別要統計檔案時間。

  • 利用檔案時間對檔案進行搜尋,對同時間點的檔案要進行特別檢視。

  • 對所有相關檔案型別進行搜尋,對大個頭檔案一定要進行手工檢視。

  • 可以在 Windows 作業系統下載入類 Linux 系統對檔案內容進行掃描,不放過檔案包含後門。

  • 對首頁掛馬的 js 檔案可以進行核實,找到源頭。

  • 將 IIS 日誌檔案利用逆火日誌分析軟體進行分析處理,尋找漏洞和駭客 IP。

  • 安裝防毒軟體,開啟防火牆,對伺服器進行安全清理和加固,升級系統補丁程式。

陳小兵,高階工程師,北理工計算機學院博士在讀。擁有豐富的資訊系統專案經驗以及 15 年以上網路安全經驗。現主要從事網路安全及資料庫技術研究工作。已出版《SQL Server2000培訓教程》《駭客攻防及實戰案例解析》《Web滲透及實戰案例解析》《安全之路-Web滲透及實戰案例解析第二版》、《駭客攻防實戰加密與解密》、《網路攻防實戰研究:漏洞利用與提權》、《網路攻防實戰研究:MySQL資料庫攻擊與防範》共計 7 本專著,在國內核心期刊及普通學術期刊發表論文 20 餘篇,曾在《駭客防線》、《駭客X檔案》、《網管員世界》、《開放系統及世界》、《視窗世界》等雜誌發表文章 100 餘篇。


●本文編號568,以後想閱讀這篇文章直接輸入568即可

●輸入m獲取文章目錄

推薦↓↓↓

大資料與人工智慧

更多推薦18個技術類公眾微信

涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

贊(0)

分享創造快樂