1。基本情况无意中发现了一个很奇怪的web服务器,在它的网站页面上添加了一堆外文页面链接。点击一篇文章进入后,内容如下图所示:网站是中文网站,绝对不可能出现上述页面内容,页面中嵌入了一堆JS代码。显然,该网站已被黑客入侵,为避免进一步的危害,已采取紧急措施使服务器下线。由于服务器部署在异地远程机房,服务器下线后无法直接分析。只是采用远程协同分析日志文件的方式(获取一些web日志文件和一些异常的PHP文档),无法进行深入分析。.服务器为windows系统,使用Apache作为web服务器,网站基于PHP+WordPress开发。服务器基本情况:2、页面简单分析上图中的JS代码如下表所示:经过简单分析,很明显上表中的代码应该是XSS跨站漏洞攻击者的exploit代码,主要用于获取访问该页面用户的cookie信息,根据函数名getCookie也可以很容易的知道其作用。对上述代码base64加密部分进行解密,内容如下:可见攻击者的XSS服务器为193.238.46.57,地址查询如下图所示,目前无法访问该页面。三、日志分析1、分析access.log日志,发现密码暴力破解、漏洞攻击历史、wordpress登录操作、网络爬虫等记录。a)大量暴力破解或DDOS攻击消息通过查看日志发现每天都有大量IP访问wordpress网站的xmlrpc.php文件。使用POST方法提交和发送数据。由于在日志中看不到POST数据报文的内容,推测应该是用于暴力破解密码;wordpress管理登录界面已经做了防暴力破解保护,使用xmlrpc.php接口可以绕过上面的登录限制,可以通过post数据到xmlrpc.php尝试破解密码,这也导致了严重的服务器资源丢失。b)大量漏洞攻击记录日志中还发现了大量漏洞攻击记录,尤其是ThinkPHP5远程代码执行漏洞的尝试,表明恶意网络攻击非常频繁。下表是服务器一天内被漏洞攻击的情况:提取恶意URL列表如下:c)Wordpress登录操作从access.log中发现一些成功的Wordpress后台管理登录操作,说明该账号Wordpress的密码已被泄露,根据时间和登录IP判断不属于管理员。同时,这些操作重复多次,操作的IP也不确定。因此怀疑这台服务器的攻击者不止一个,可能是多次自动化网络攻击造成的。d)网络爬虫记录并分析一天的日志文件,发现如下爬虫信息,如下表所示,其中SEMrushBot和今日头条爬虫在这一天最为活跃。对于网站经营者来说,在发现网站被黑后,会采取措施清理被黑的服务器系统。但事实上,由于“搜索引擎爬虫”的辛勤工作,网站被黑页面已经被爬取,证据得以保留。2、查看error.log日志,发现了一些问题,比如一堆英文名字怪异的PHP文件中出现大量错误提示,“找不到”check_is_bot.php“文件。最早的提示出现在2018年1月20号,说明服务器早在2年前就已经被黑了,如下表:所以,去C:\phpStudy\WWW\wordpress2\wp-content\plugins\anything-order-by-terms\modules\,发现目录下确实有一堆英文名字怪怪的PHP文件。anything-order-by-terms是一个wordpress插件,通过它可以轻松拖放任何帖子类型和术语在管理界面的内置列表中。(用户不知是否自行安装)改名下有430多个PHP文件和数十个php.suspected文件。1月12日15:29分,2019.于是回头发现1月12日13:33有异常错误日志,跟404.php有关。另外,under这些目录,确实找到了check_is_bot.php的相关文件:check_is_bot.php.suspected,目录下还有一堆php.suspected结尾的文件,如下图,判断应该改名为防毒软件。check_is_bot.php文件内容如下:解码最终的PHP代码如下图所示:打开任意一个英文名字奇怪的php文件,发现其实是一个html页面,其中有一段PHP在每个页面的头部添加代码,包含check_is_bot.php,并执行一段js代码。如下表所示:jscs.min.js内容查看如下:简单分析代码,首先对M5s字符串进行处理,处理代码如下,即每2个字节进行parseInt转换,然后转换成字符串,然后调用setTimeout执行。4.总结本次分析只是对服务器被黑的简单记录。由于网站本身服务功能有限,日常访问用户较少,运营商基本没有维护和管理。从事实可以看出,几年没有发现问题。相信很多单位都存在这种情况。由于临时业务需要,使用开源框架搭建了一些小型网站系统,功能可以使用。就不管他们了,以后不会再投入资源更新、维护和管理。不记得有这个网站系统。随着网络安全监管力度的加强,这些容易被忽视的网站容易出现违法违规行为。若遭受网络攻击并造成不良影响,可能会影响公司的正常经营活动。建议一定要投入资源关注:1.总结摸清本单位所有外接服务器的情况;2、明确各服务器使用和管理的责任部门和人员;3、实行网站日常巡检制度;4、经常更新升级补丁;5、限制网站后台管理;6、定期实施网络安全评估;7、投入资源建设,升级网站安全防护软硬件系统。
