应急响应实例分享1

应急响应实例分享1 本文旨在分享一份应急响应实例，旨在帮助读者了解如何应对网站篡改事件。该实例中，网站首页被发现篡改，插入了恶意内容。本文将详细描述事件的排查过程和解决方法。 一、事件简述 在某天，发现网站首页被百度提示页面部分篡改。通过查看百度快照，确认网站首页确实被篡改，插入内容被编码。解码内容表明，网站确实存在页面篡改情况。 二、排查过程 本次的排查过程中，首先登录网站管理后台，发现网站首页篡改时间为10月6号。通过对日志进行分析，发现攻击者通过test.php写入optimized.php后门，写入时间为2019年10月6号。test.php的具体内容如下，可以利用该后门通过访问链接生成optimized.php大马，访问optimized.php，输入密码可成功登录该木马程序。 在对日志进行进一步分析，来确定test.php是如何写进服务器。在日志中发现了攻击者尝试紧接着对moon.php做了一次请求，但是由于没有写进去，系统返回了404。接着又存在一条，看状态码是写入成功了。解码内容如下。 三、mytag_js.php文件分析 在日志中可以看到，在写入成功后紧接着进行了一次访问。但是我尝试访问时，发现mytag_js.php文件已经被删除。由于不能远程登录服务器无法判断文件的改动情况，只能利用现有资源翻目录看日志了。通过分析查找，在Data/cache目录下发现mytag-511348.html，最早的写入时间可以追溯到2017年。打开该文件内容为含有php一句话木马的html页面。 开始以为这只是个含有一句话木马的html，没把他当回事，一个html能有啥呢？但是当分析日志发现有关于511348的访问记录。单独的html页面还不足以成为后门，但是通过结合mytag_js.php文件就有了大用处，通过查看源码未发现mytag_js.php文件，从日志中也可看到之后在对mytag_js.php进行访问，服务器就已经响应404了，可见攻击者已经删除了该文件。 四、后门隐藏和利用文件包含 从之前的源码备份中找到了mytag_js.php，具体内容如下。攻击者只需要访问http://x.x.x.x//plus/mytag_js.php?aid=511348，就可以连接一句话木马了，本地搭建环境测试了下确实可以利用菜刀连接上，从日志中也可以看到确实能连接成功，从数据包的大小，可看到攻击者利用该菜刀马做了一系列操作。 此处攻击者巧妙的利用文件包含的方式隐藏后门，这确实是种不错的方法，一般很少有杀毒软件会对html的进行查杀。 五、结论和建议 在排查过程中，我们可以看到攻击者利用了织梦的漏洞对系统实施攻击，并且隐藏了后门文件。因此，我们建议删除相关目录下的后门程序、删除/plus/ad_js.php和/plus/mytag_js.php两个文件、删除data/cache下的缓存文件。