對某入侵網站的一次快速處理
淩晨1點,接到朋友的求助,網站被黑了,訪問網站首頁會自動定向到一個×××,這個時間點都是該進入夢鄉的時間,可是國家正在開會,這個時間點的事情都比較敏感,沒有辦法,直接開幹吧。
1.查看首頁代碼
通過查看首頁(index.html/index.php)源代碼發現網站存在三處編碼後的代碼,如圖1所示,分別在title、meta屬性中加入了代碼,對代碼文件中的其它代碼進行查看,未發現有異常。
圖1 首頁中的可疑代碼
2. Unicode編碼轉換
從首頁中插入的代碼來看是Unicode編碼,將其復制到Unicode編碼在線解碼的網站(http://tool.chinaz.com/tools/unicode.aspx),並選擇Unicode轉ASCII,如圖2所示,解碼後的內容為菠菜宣傳語,換句話說就是黑鏈宣傳,網站被插入黑鏈了。
圖2分析網站被插入鏈接
3.服務器現狀
公司網站發現情況後,服務器前期運維人員已經離職,網站是托管在獨立服務器,目前僅僅只有管理員帳號,無法直接進入服務器。在該情況下,迅速開展以下工作:
(1)通過已知管理員帳號登錄前臺和後臺進行查看。登錄前臺可以使用,後臺無法使用,懷疑文件被修改或者刪除,無法通過後臺來查看如何被入侵的。
(2)對目標網站進行漏洞掃描。
(3)查看同IP其它網站。通過查看該IP地址同服務器其它網站,發現服務器上存在4個其它站點,後經詢問四個站點均不是公司架設的。懷疑黑客在服務器上架設站點用來進行SEO黑鏈服務。
4.網站漏洞分析
(1)確認網站系統情況
手工通過robots.txt文件確認網站是由齊博CMS v7版本,這個系統很多漏洞,一看心裏就涼了。
(2)發現列目錄漏洞
通過手工和掃描判斷服務器配置上沒有禁止目錄瀏覽,導致服務器所有目錄均可以被訪問,如圖3所示,通過upload_files可以看到很多447字節的php文件,第一感覺就是掛馬、黑鏈創建文件或者是後門文件,後面通過分析一句話後門的大小,一句話後門<?php @eval($_POST['cmd']);?>文件的大小為30字節,跟447字節相差太遠,直接排除一句話後門,當然有可能是加密的一句話後門。
圖3列目錄漏洞
(3)發現本地文件下載漏洞
通過了解齊博cmsv7版本存在的漏洞發現存在一個文件下載漏洞,其漏洞利用為:http://www.*******.org.cn/do/job.php?job=download&url=base64編碼文件地址,base64編碼文件地址,例如data/config.php需要將最後一個p更換為“<”,例如分別要讀取data/config.php、data/uc_config.php、data/mysql_config.php文件,其對應url中的未編碼地址應為data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<,利用如下:
http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8
http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8
http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8
在瀏覽器中訪問即可下載這些文件,在本地打開即可查看代碼,如圖4所示,讀取到數據庫配置是root賬號。
圖4獲取網站敏感文件內容
通過同樣的方法讀取upload_files/kongzhipin.php文件,其內容如圖5所示,典型的seo手法。
圖5網站seo黑鏈代碼源文件
(4)獲取本地物理地址
通過訪問cache/hack目錄下的search.php文件,成功獲取網站的真實物理路徑,如圖6所示,目前有mysql root賬號和密碼,有真實路徑,離獲取webshell已經很近了。
圖6獲取真實物理路徑
(5)文件上傳及iis解析漏洞
如圖7所示,可以通過ckfinder.html在其上傳目錄中創建1.asp和1.php目錄,如果服務器存在解析漏洞可以直接獲取webshell。
圖7文件解析及上傳漏洞
(6)數據庫導入漏洞
如圖8所示,通過文件目錄漏洞發現在數據庫備份目錄存有數據庫備份文件,前期通過文件下載漏洞獲取了數據庫用戶名和密碼,在這裏輸入後,可以使用舊數據覆蓋新數據。在實際測試時一定要小心,一旦使用該漏洞進行測試,對數據庫將是毀滅性的,數據庫導入一般都是先drop,後插入,因此執行此操作後,能成功恢復數據的可能性非常低,建議網站管理人員定期備份數據庫以及代碼文件!
圖8數據庫導入漏洞
1.1.2服務器第一次安全處理
1.備份當前網站代碼及數據庫
最重要的事情就是備份,備份數據庫及其代碼文件到本地,註意是備份當前的數據庫和源代碼,如果是要報案,則最好使用備份服務器恢復網站和數據,被入侵服務器留好數據,便於打擊和取證,備份源代碼和數據庫可以用在後面進行分析,對黑客進行追蹤和定位。
2.使用webshellkill查找後門文件
(1)查殺後門
個人覺得WebShellKill 這個工具不錯,可以自動檢測很多已知的後門文件和一些病毒文件,最新版本為2.0.9,其下載地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip,下載後選擇需要掃描的目錄即可開始查殺,如圖9所示,在該站點下找到幾百個黑鏈及後門文件,不看不知道,一看嚇一跳,入侵者真狠!對這些可疑文件進行查看和刪除。
圖9查殺後門文件
(2)網站大馬
如圖10所示,在服務器上發現多個webshell大馬,該webshell可以對文件、數據庫等進行操作,功能強大。
圖10網站大馬
3.沒有最黑,只有更黑
通過對網站進行大小查看,一個普通的網站竟然超過20G,明顯不正常,如圖11所示,在data_cache中,黑客用來做seo竟然高達21.8552萬個頁面,共計15.3G。
圖11黑客使用緩存文件高達15G大小
4.刪除服務器添加賬號及後門文件
(1)通過計算機管理-“本地用戶和組”-“用戶”,查看計算機上所有的用戶,經過朋友的確認,紅色框住用戶全部為黑客添加賬號,如圖12所示,共計7個賬號,將其刪除。
圖12黑客添加賬號
(2)查看管理員組和對應用戶所屬文件夾
如圖13所示,通過命令查看管理員及用戶賬號,並查看當前用戶的配置文件,在其配置文件中包含一些黑客攻擊工具,將這些文件全部打包壓縮,然後刪除用戶及其配置文件。
圖13查看管理員賬號及其黑客賬號配置文件
5.清理服務器後門文件
對於服務器後門文件清理就要靠個人經驗和技術,一方面可以借助安裝360等殺毒軟件來進行自動查殺,如圖14所示,系統盤下一堆病毒。通過殺毒軟件的查殺可以清理第一批,對於被入侵過的服務器,建議是重做系統!
圖14使用殺毒軟件對病毒進行查殺處理
實在沒有辦法只能手工對病毒進行清理。後續可以借助autoruns和processxp等工具對啟動項、服務、進程等進行查看,發現無簽名,可以采取以下一些辦法:
(1)將可疑文件直接上報殺毒網站進行引擎查殺。可以將樣本直接上報卡巴斯基和360等(https://virusdesk.kaspersky.com/、http://sampleup.sd.360.cn/)更多上報地址請查看http://www.stormcn.cn/post/782.html。
(2)通過百度等搜索引擎搜索名稱,查看網上有無相關資料。
(3)對可疑程序做好備份後,將其刪除。
(4)頑固病毒需要通過冰刃以及進程管理等工具強行結束進程,然後再刪除。
(5)通過CurrPorts(http://www.nirsoft.net/utils/cports.zip)查看當前網絡連接程序及其相關情況。
(6)實在不放心就是用抓包程序對服務器進行抓包,查看對外連接。
(7)記得清理shift後門和放大鏡等可以利用遠程桌面啟動的後門,建議將shift、放大鏡等程序直接清理或者禁用。
6.更改所有賬號及密碼
至此第一段落網站入侵清理完畢,對所有網站使用的賬號及密碼進行更改,更改所有密碼,包括遠程桌面,ftp、ssh、後臺管理、數據庫賬號密碼等,由於黑客入侵過,可能已經下載數據庫和獲取所有相關密碼,因此需要全部進行更改。
7.恢復網站正常運行
對網站進行恢復,使其正常運行,同時開啟防火墻,對外僅僅開放80端口和遠程管理端口。
1.1.3服務器第二次安全處理
1.服務器再次出現掛黑鏈現象
過了兩天服務器再次出現問題,發現網站再次出現黑鏈現象,百度搜索該網站域名,出現結果一訪問就指向×××。
2.手動清理後門文件
(1)再次使用webshellkill工具對站點進行查看。
(2)手工對網站所有php文件進行查看。對網站所有的php文件進行搜索,安裝文件大小進行排序,對超過20K以上文件都需要進行查看,如圖15所示,定位到大文件目錄,一看該文件多半是webshell,如圖16所示,打開以後果然是webshell,采取了加密,所以webshellkill無法查殺,將該文件的hash值直接上報給webshellkill工具。
圖15定位大文件位置
圖16查看文件內容
(3)手工查殺狡猾的後門
對網站的文件逐個進行查看,文件中有加密字符、亂碼的,多半是webshell,如圖17所示,另外還發現存在文件上傳頁面,這種通過工具很難查殺出來。
圖17另外加密的webshell
(4)通過分析日誌文件定位後門文件。對日誌文件中的php文件進行搜索,逐個進行驗證,這個可以通過逆火日誌分析軟件來實現,後續有介紹。
3.尋找首頁黑鏈源代碼文件
對於網站首頁的黑鏈源代碼文件,通過搜索百度等均未發現有價值的處理意見,後面通過分析,其代碼一定有加載出,對每一個js文件進行源頭查看,最終獲取一個編輯器加載的node.js文件,其內容如圖18所示,明顯就是這個來實現的,將其刪除!
圖18獲取黑鏈源代碼文件
第二段落的處理完畢後,網站恢復正常運行,同時修補了發現的漏洞,以及部分明顯程序漏洞。
1.1.4日誌分析和追蹤
1.對IIS日誌進行手工分析
(1)將IIS日誌文件生成一個文件,可以利用命令來實現:cat *.log>alllog.txt
(2)對源代碼中存在的後門文件進行逐個梳理,整理出文件名稱。
(3)在日誌中以文件名為關鍵之進行查看,如圖19所示,可以獲取曾經訪問過該文件的IP地址,這些地址可以用來進行跟蹤和案件打擊。
圖19手工追蹤黑客IP地址
2.黑客賬號配置文件分析和追蹤
(1)獲取黑客的QQ號碼
通過查看黑客添加的賬號下的配置文件,可以獲取黑客曾經使用過什麽工具,訪問過什麽站點等信息,如圖20所示,黑客曾經在該服務器上登錄過。
圖20獲取黑客訪問的QQ號碼
(2)獲取黑客攻擊高校源代碼
在黑客當前賬號下,還發現三個高校站點壓縮包,如圖21所示。
圖21黑客攻擊其他目標
2.利用逆火對網站日誌進行分析處理
(1)分析黑客攻擊IP地址
在虛擬機上安裝逆火日誌分析軟件(該軟件已經停止更新),如圖22所示,安裝完畢後,需要設置網站的url、首頁文件和日誌文件名稱及位置,完畢後即可進行分析,註意如果需要定位黑客,需要在選項中進行配置,將黑客的後門文件名稱加入到文件追蹤和黑客攻擊中。
圖22通過日誌分析黑客IP地址及其相關行為
(2)對網站進行漏洞分析
如果日誌文件足夠多,則可以通過統計分析,在訪問資源、錯誤等內容中去發現存在的漏洞和攻擊行為,這些分析將有助於修補漏洞和發現攻擊行為,對存在問題進行修復。
1.1.5總結及分析
回顧整個處理過程,看似簡單,卻非常耗費時間,通過跟圈內朋友交流,跟黑客攻擊目標網站進行seo黑鏈進行處理,就是一場戰爭,服務器上會有各種木馬和webshell,第一次以為自己清理完畢,結果還遺留有加密的webshell以及上傳類型的後門,這種後門的清理非常的耗費時間,尤其是在windows下。整個過程有以下一些體會跟大家分享:
1.備份數據庫及代碼文件到本地或者其它服務器。
2.使用webshellkill自動清理第一遍,對第一遍出現的shell後門要進行登記或者抓圖,特別要統計文件時間。
3.利用文件時間對文件進行搜索,對同時間點的文件要進行特別查看。
4.對所有相關文件類型進行搜索,對大個頭文件一定要進行手工查看。
5.可以windows操作系統下加載類linux系統對文件內容進行掃描,不放過文件包含後門。
6.對首頁掛馬的js文件可以這個進行核實,找到源頭。
7.將IIS日誌文件利用逆火日誌分析軟件進行分析處理,尋找漏洞和黑客IP。
8.安裝殺毒軟件,開啟防火墻,對服務器進行安全清理和加固,升級系統補丁程序。
對某入侵網站的一次快速處理