应急响应实例分享1
应急响应实例分享1 本文旨在分享一份应急响应实例,旨在帮助读者了解如何应对网站篡改事件。该实例中,网站首页被发现篡改,插入了恶意内容。本文将详细描述事件的排查过程和解决方法。 一、事件简述 在某天,发现网站首页被百度提示页面部分篡改。通过查看百度快照,确认网站首页确实被篡改,插入内容被编码。解码内容表明,网站确实存在页面篡改情况。 二、排查过程 本次的排查过程中,首先登录网站管理后台,发现网站首页篡改时间为10月6号。通过对日志进行分析,发现攻击者通过test.php写入optimized.php后门,写入时间为2019年10月6号。test.php的具体内容如下,可以利用该后门通过访问链接生成optimized.php大马,访问optimized.php,输入密码可成功登录该木马程序。 在对日志进行进一步分析,来确定test.php是如何写进服务器。在日志中发现了攻击者尝试紧接着对moon.php做了一次请求,但是由于没有写进去,系统返回了404。接着又存在一条,看状态码是写入成功了。解码内容如下。 三、mytag_js.php文件分析 在日志中可以看到,在写入成功后紧接着进行了一次访问。但是我尝试访问时,发现mytag_js.php文件已经被删除。由于不能远程登录服务器无法判断文件的改动情况,只能利用现有资源翻目录看日志了。通过分析查找,在Data/cache目录下发现mytag-511348.html,最早的写入时间可以追溯到2017年。打开该文件内容为含有php一句话木马的html页面。 开始以为这只是个含有一句话木马的html,没把他当回事,一个html能有啥呢?但是当分析日志发现有关于511348的访问记录。单独的html页面还不足以成为后门,但是通过结合mytag_js.php文件就有了大用处,通过查看源码未发现mytag_js.php文件,从日志中也可看到之后在对mytag_js.php进行访问,服务器就已经响应404了,可见攻击者已经删除了该文件。 四、后门隐藏和利用文件包含 从之前的源码备份中找到了mytag_js.php,具体内容如下。攻击者只需要访问http://x.x.x.x//plus/mytag_js.php?aid=511348,就可以连接一句话木马了,本地搭建环境测试了下确实可以利用菜刀连接上,从日志中也可以看到确实能连接成功,从数据包的大小,可看到攻击者利用该菜刀马做了一系列操作。 此处攻击者巧妙的利用文件包含的方式隐藏后门,这确实是种不错的方法,一般很少有杀毒软件会对html的进行查杀。 五、结论和建议 在排查过程中,我们可以看到攻击者利用了织梦的漏洞对系统实施攻击,并且隐藏了后门文件。因此,我们建议删除相关目录下的后门程序、删除/plus/ad_js.php和/plus/mytag_js.php两个文件、删除data/cache下的缓存文件。
- 粉丝: 28
- 资源: 323
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
评论0