作為一名才畢業沒多久就天天寫各種報告的苦命文職專員，就在這里記錄記錄工作筆記來打發下無聊的日子吧。我把每天遇到好玩的整理發出來與大家分享，所謂獨樂樂不如眾樂樂^_^

一、詭異的請求

作為一名剛參加工作的新人，我的工作就是寫報告和分析日志，什么日志呢，就是國內某云WAF里所有網站產生的請求日志。分析了日志寫報告，寫完報告又要分析日志，每天不是在寫報告就是在分析日志。這周連寫三天的報告了，已虛脫到無力吐槽。還好在下班之前搞定了，不然木木姐又得去幫我買麥當勞了(官方標配加班餐)。

三天沒去分析攻擊日志了，已惦記得心憔悴。放肆，這是在干嘛，我發現有一抹多的IP對N多的網站請求著同一個路徑：

/data/in***.php(為了防止看官作惡，文件名隱藏了)

并且這幾天的請求次數還真多，你們完蛋了，因為我要開始好好分析分析了。我敲了幾條shell命令，把請求這個路徑的日志行都單獨地提煉了到了一個文本中——這樣看上去會更加直觀了些。

然后叫旁邊正在賣力修BUG的P看了看。“你看，這是我剛導出的日志，它們都在請求這個路徑，感覺這些請求好像有問題，這幾天請求得有些頻繁”，我指著屏幕說道。

“是掃描器吧，都返回的404”，P說道。

“不太像吧”，我答。

緊接著我用awk過濾掉那些影響視覺效果的日志列后繼續分析。我發現每條日志都帶有Referer，Referer是指向其他站點data/in***..php路徑的URL。奇怪。

我隨手抽了幾個Referer里的URL放瀏覽器中訪問，想看看是什么。這一看真不得了!瞬間被嚇尿，阿門，竟然是Webshell(黑客放置在網站里的后門程序)!

隨手剪張截圖給大家看看：

看來，這些請求就是在嘗試網站有沒有Webshell!

為啥攻擊者的腳本會把Webshell放在Referer里呢?是上帝的恩賜?還是黑客有意?或者是寫掃描Webshell程序的人喝太高了，打錯變量引起的BUG呢?不得而知，管他呢，重要的是，這里導出來竟有101個存活的Webshell。

我趕緊很不道德地打斷了小組其他人的工作，叫他們過來看看。滿屏幕的Webshell把他們也嚇尿了。

短暫的唧唧歪歪后，我們決定：

1、 由我把一個月的日志中所有請求/data/in***.php的導出來做分析工作。

2、 找出用了某云WAF的網站，由P完成。

我在日志平臺上敲了條Hive語句，然后去尿尿了下，回來日志已經全部導出來了。接著把日志里Referer取出來，做了去重統計后——30天，1185個Webshell，這個數字絕對夠震撼!P那邊進展也很快，把域名列表導出來后，跑了個檢測腳本，很快就找出了幾個用了加速服務的用戶。

接著我繼續做分析工作，想先碰碰運氣，看能不能用字典把Webshell的登錄密碼跑出來。我用Python寫了段破解Webshell登錄密碼的腳本，掛上以前收集來的Webshell密碼字典列表，然后一個回車摁下去，然后死盯著屏幕，希望能有結果。

等待是漫長的，感覺時間仿佛死機了，讓每一秒都在延遲。事實證明我的運氣還是比較好的，字典里果然有。

既然這些Webshell是程序自動探測，所有Webshell的密碼應該都通用。找了十來個Webshell做登錄測試，每個Webshell都可以正常登陸。登陸進去后，我快速地做了一些樣本采集之類的工作。

但一個問題困然著我們——究竟是何許人也，是誰批量干掉這么多網站?莫不成用的0day(未公開的漏洞)?要是0day又得發一筆了——光拿到Webshell就發了一大筆了。

仔細觀察，發現這1000多個被黑的網站竟然全部用的DeDeCMS。那么攻擊者應該是使用了DeDeCMS的漏洞進行攻擊的。

我向大伙匯報了下成果。

“趕快先檢查現有使用加速服務里所有DeDeCMS用戶，有沒有出現安全問題，優先保障用戶的安全，具體攻擊手段后續分析”，這時，旁邊沉默很久的老楊發話了。

這時P分析也差不多了，“這些網站沒多久才加入的，從日志來看，應該是被黑后，來這里尋求保護的”。

“把站點列表給XM，由他安排客服聯系站長，另外X把分析分析那個Webshell，看能不能找出特征后把它攔截了，不準黑客訪問。另外，為了站長們的安全，暫時先把/data/in***.php路徑也給攔截了，不要讓掃描器掃到”，F說道。

然后P利用之前分析的數據，結合北京研究部的數據，以及加速服務歷史的數據做了個簡單的統計，統計結果是：使用了DeDeCMS的網站，竟然有63%都被黑客攻擊成功過。這個比例意味著——網站不及時打補丁、又沒有開啟云WAF，赤裸裸放在服務器上就肯定會被黑客攻擊。

過了幾分鐘…

“找到特征了，Webshell的登錄用的Cookie驗證，我拿這段Cookie去跑了幾天日志，沒有誤報的，現在就上規則”，X說道。

又過去幾分鐘…

“規則已經生效了，訪問/data/in***.php被攔截了，我把Webshell換了個文件名放自己網站里，一登錄就被攔截了”，P說。

“干得很漂亮，剛才我給余弦打了電話了，ZoomEye團隊也進入應急了，你把日志樣本發給他們”，F對我說。

“不錯，Webshell的后續分析工作交給我來吧”，我說。

“好，下周你就負責把這些網站全部提權了，然后再拖庫，哈哈。開玩笑的，交你了哈，弄完了寫個分析報告”，F說道。

我們需要知道：

1、黑客是用什么手段攻擊的;

2、是誰在攻擊。

圍繞著這兩點，我的一段艱辛的分析就此展開了，途中遇到各種奇葩，待下次道來。