首發(fā)于奇安信攻防社區(qū)

文章地址：

一、活動說明

一天，某騰云網(wǎng)接到了監(jiān)管單位的通知，說騰云網(wǎng)的網(wǎng)站含有違法內(nèi)容……于是只好再次出發(fā)。首先，我先向客戶詢問了網(wǎng)站的地址?？纯茨睦镉蟹欠▋?nèi)容。翻閱網(wǎng)站上的子頁面后seo優(yōu)化，均正常顯示。返回首頁并按 F12。果然，網(wǎng)站的關鍵字標簽被修改了。

2、現(xiàn)場處置

帶著我的小電驢到達現(xiàn)場后，我開始和網(wǎng)站負責人交談，了解目前的網(wǎng)絡情況。目前網(wǎng)站部署在川西某數(shù)字服務商，我租用了虛擬空間，沒有權限登錄服務器。, 通常維護和更新文件也是通過FTP上傳更新的，沒有購買任何安全保護。

因為網(wǎng)站首頁文件被修改了，我們看到.html的修改日期是6月28日19:08，也就是此時發(fā)生了篡改。值得注意的是，當我們需要下載FTP上的文件在本地電腦上查看時，需要將虛擬空間中的源文件打包成壓縮包下載。否則，使用FTP逐一下載文件時的修改時間將是當前下載時間，稍后結合日志分析。溯源工作帶來一定的困難。

三、事件分析

當頁面被惡意篡改時，說明已經(jīng)獲得了網(wǎng)站的控制權，修改的內(nèi)容是首頁的源代碼文件，說明獲得的權限大于后臺管理員的權限，并且源代碼可以隨意更改，但不排除一些網(wǎng)站，后臺管理功能也有編輯網(wǎng)頁源代碼的能力，所以后門文件必須是黑客在那個網(wǎng)站上傳的。

接下來我們使用D盾查殺工具選擇網(wǎng)站根目錄進行全面搜索，看看黑客上傳了多少后門文件。我們可以看到一共檢測到5731個文件，其中6個是：管理用.php.php、buak.php、.php、pig.php、need.php都是馬來西亞的后門文件。

細心的朋友此時發(fā)現(xiàn)，.php密碼重置腳本與其他后門修改時間相差兩年，但與建站時生成文件的時間相差無幾。當時我也很納悶，為什么不一樣呢？讓我們看看 .php 做了什么。

啊這個……直接訪問修改后的腳本管理員賬號密碼可以修改，不用輸入舊密碼，然后問網(wǎng)站負責人發(fā)現(xiàn)我早期忘記密碼了php網(wǎng)站后門檢測，用這個 腳本修改了密碼，不知道當時修改后是否刪除了腳本。

這個想法在這里更清楚。我知道首頁被篡改的時間是6月28日19時08分，最早上傳的.php后門文件是6月27日16時24分，根據(jù)這個時間點，過濾6月24日至6月30日到6月30日，分析網(wǎng)絡日志，搜索.php的流量，發(fā)現(xiàn)早在24號就有人訪問過，但是27號8點21分開始，只有一個1.206的IP .xx 訪問 GET 請求和三步后 POST 數(shù)據(jù)提交的操作與前面三步加密非常相似，所以這個 IP 是攻擊者最可疑的，與網(wǎng)頁被修改的時間最相似.

根據(jù)對疑似IP1.206.xx的分析網(wǎng)站模板，在日志的進一步篩選中，可以看到所有更改IP的操作。首先通過密碼重置腳本修改密碼，然后立即訪問//.php后臺界面登錄下一個。//.php 表示登錄成功。

四、后門分析

我知道網(wǎng)站上最早的后門文件是.php，同樣是用來過濾流量日志的。php 查看它是如何上傳的，可以看出攻擊者首先訪問了.php文件，然后生成了一個POST數(shù)據(jù)。.php 文件。

回到網(wǎng)站文件目錄查看.php文件。好家伙php網(wǎng)站后門檢測，這是一個管理后臺的文件管理編輯器。攻擊者直接在后臺添加并生成后門文件。就是這個。

我們來看看其他后門文件是如何上傳的。按時間順序搜索buak.php后門文件，發(fā)現(xiàn)是通過.php上傳的。

繼續(xù)搜索app.php文件上傳的.php后門文件，但是D盾沒有掃描到流量日志記錄的路徑，也沒有發(fā)現(xiàn)文件存在，應該是刪除。

那么app.php是怎么上傳的，上傳的是哪個IP呢？篩選app.php后，可以看到上傳了buak.php。

只剩下兩個后門文件，pig.php 和need.php。經(jīng)過一輪篩選，需要app.php文件上傳need.php，但pig.php后門文件并沒有被篩選掉。只有一種可能。上傳后，攻擊者將原始后門文件重命名為 pig.php。

五、總結

IP為1.206.xx的攻擊者于27日8時21分首次發(fā)現(xiàn).php密碼重置腳本，并于8時22分更改管理員賬號密碼并登錄后臺，8時24分訪問后臺.php文件管理編輯器，我在馬來西亞上傳了.php后門文件，然后通過.php后門文件上傳了buak.php后門，然后從buak.php上傳了app.php（現(xiàn)已刪除） ，然后是app.php生成的need.php后門文件（IIS日志需要添加8個時間段對應正確的發(fā)生時間），細心的朋友會發(fā)現(xiàn)，每次生成新的后門，IP to 改變的原因其實很簡單。你可以大膽猜測，這是一種買賣行為，一個賣另一個。

綜合以上分析，此次事件的關鍵在于運維管理人員的粗心大意，給攻擊者帶來了可乘之機。