【51CTO.com原創(chuàng)稿件】“凌晨 1 點(diǎn)，接到朋友的求助，網(wǎng)站被黑了，訪問網(wǎng)站首頁會(huì)自動(dòng)定向到一個(gè)賭bo網(wǎng)站，這個(gè)時(shí)間點(diǎn)都是該進(jìn)入夢(mèng)鄉(xiāng)的時(shí)間，直接開干。

本文分為以下五個(gè)部分介紹：

• 入侵情況分析
• 服務(wù)器第一次安全處理
• 服務(wù)器第二次安全處理
• 日志分析和追蹤
• 總結(jié)及分析

入侵情況分析

查看首頁代碼

通過查看首頁（index.html/index.php）源代碼發(fā)現(xiàn)網(wǎng)站存在 3 處編碼后的代碼，如圖 1 所示，分別在 title、meta 屬性中加入了代碼，對(duì)代碼文件中的其他代碼進(jìn)行查看，未發(fā)現(xiàn)有異常。

圖 1：首頁中的可疑代碼

Unicode 編碼轉(zhuǎn)換

從首頁中插入的代碼來看是 Unicode 編碼，將其復(fù)制到 Unicode 編碼在線解碼的網(wǎng)站（http://tool.chinaz.com/tools/unicode.aspx），并選擇 Unicode 轉(zhuǎn) ASCII。

如圖 2 所示，解碼后的內(nèi)容為菠菜宣傳語，換句話說就是黑鏈宣傳，網(wǎng)站被插入黑鏈了。

圖 2：分析網(wǎng)站被插入鏈接

服務(wù)器現(xiàn)狀

公司網(wǎng)站發(fā)現(xiàn)情況后，由于服務(wù)器前期運(yùn)維人員已經(jīng)離職，網(wǎng)站是托管在獨(dú)立服務(wù)器，目前僅僅只有管理員帳號(hào)，所以無法直接進(jìn)入服務(wù)器。

在該情況下，迅速開展以下工作：

• 通過已知管理員帳號(hào)登錄前臺(tái)和后臺(tái)進(jìn)行查看。登錄前臺(tái)可以使用，后臺(tái)無法使用，懷疑文件被修改或者刪除，無法通過后臺(tái)來查看如何被入侵的。
• 對(duì)目標(biāo)網(wǎng)站進(jìn)行漏洞掃描。
• 查看同 IP 其他網(wǎng)站。通過查看該 IP 地址同服務(wù)器其他網(wǎng)站，發(fā)現(xiàn)服務(wù)器上存在 4 個(gè)其他站點(diǎn)，后經(jīng)詢問 4 個(gè)站點(diǎn)均不是公司架設(shè)的。懷疑黑客在服務(wù)器上架設(shè)站點(diǎn)用來進(jìn)行 SEO 黑鏈服務(wù)。

網(wǎng)站漏洞分析

確認(rèn)網(wǎng)站系統(tǒng)情況

手工通過 robots.txt 文件確認(rèn)網(wǎng)站采用某網(wǎng)站 CMS v7 版本，這個(gè)系統(tǒng)很多漏洞，一看心里就涼了。

發(fā)現(xiàn)列目錄漏洞

通過手工和掃描判斷服務(wù)器配置上沒有禁止目錄瀏覽，導(dǎo)致服務(wù)器所有目錄均可以被訪問。

如圖 3 所示，通過 upload_files 可以看到很多 447 字節(jié)的 PHP 文件，第一感覺就是掛馬、黑鏈創(chuàng)建文件或者是后門文件。

后面通過分析一句話后門的大小，一句話后門 <?php@eval($_POST['cmd']);?> 文件的大小為 30 字節(jié)，跟 447 字節(jié)相差太遠(yuǎn)，直接排除一句話后門，當(dāng)然有可能是加密的一句話后門。

圖 3：列目錄漏洞

發(fā)現(xiàn)本地文件下載漏洞

通過了解此網(wǎng)站 CMS V7 版本存在的漏洞發(fā)現(xiàn)存在一個(gè)文件下載漏洞，其漏洞利用為：http://www.*******.org.cn/do/job.php?job=download&url=base64 編碼文件地址，base64 編碼文件地址。

例如 data/config.php 需要將最后一個(gè) p 更換為“<”，例如分別要讀取 data/config.php、data/uc_config.php、data/mysql_config.php 文件。

其對(duì)應(yīng) url 中的未編碼地址應(yīng)為：data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<，利用如下：

• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8
• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8
• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在瀏覽器中訪問即可下載這些文件，在本地打開即可查看代碼，如圖 4 所示，讀取到數(shù)據(jù)庫配置是 root 賬號(hào)。

圖 4：獲取網(wǎng)站敏感文件內(nèi)容

通過同樣的方法讀取 upload_files/kongzhipin.php 文件，其內(nèi)容如圖 5 所示，典型的 SEO 手法。

圖 5：網(wǎng)站 SEO 黑鏈代碼源文件

獲取本地物理地址

通過訪問 cache/hack 目錄下的 search.php 文件，成功獲取網(wǎng)站的真實(shí)物理路徑。

如圖 6 所示，目前有 mysql root 賬號(hào)和密碼，有真實(shí)路徑，離獲取 webshell 已經(jīng)很近了。

圖 6：獲取真實(shí)物理路徑

文件上傳及 IIS 解析漏洞

如圖 7 所示，可以通過 ckfinder.html 在其上傳目錄中創(chuàng)建 1.asp 和 1.php 目錄，如果服務(wù)器存在解析漏洞可以直接獲取 webshell。

圖 7：文件解析及上傳漏洞

數(shù)據(jù)庫導(dǎo)入漏洞

如圖 8 所示，通過文件目錄漏洞發(fā)現(xiàn)在數(shù)據(jù)庫備份目錄存有數(shù)據(jù)庫備份文件，前期通過文件下載漏洞獲取了數(shù)據(jù)庫用戶名和密碼，在這里輸入后，可以使用舊數(shù)據(jù)覆蓋新數(shù)據(jù)。

在實(shí)際測(cè)試時(shí)一定要小心，一旦使用該漏洞進(jìn)行測(cè)試，對(duì)數(shù)據(jù)庫將是毀滅性的，數(shù)據(jù)庫導(dǎo)入一般都是先 drop，后插入。

因此執(zhí)行此操作后，能成功恢復(fù)數(shù)據(jù)的可能性非常低，建議網(wǎng)站管理人員定期備份數(shù)據(jù)庫以及代碼文件！

圖 8：數(shù)據(jù)庫導(dǎo)入漏洞

服務(wù)器第一次安全處理

備份當(dāng)前網(wǎng)站代碼及數(shù)據(jù)庫

最重要的事情就是備份，備份數(shù)據(jù)庫及其代碼文件到本地，注意是備份當(dāng)前的數(shù)據(jù)庫和源代碼。

如果是要報(bào)案，則最好使用備份服務(wù)器恢復(fù)網(wǎng)站和數(shù)據(jù)，被入侵服務(wù)器留好數(shù)據(jù)，便于打擊和取證，備份源代碼和數(shù)據(jù)庫可以用在后面進(jìn)行分析，對(duì)黑客進(jìn)行追蹤和定位。

使用 WebShellKill 查找后門文件

查殺后門

個(gè)人覺得 WebShellKill 這個(gè)工具不錯(cuò)，可以自動(dòng)檢測(cè)很多已知的后門文件和一些病毒文件，它的最新版本是 2.0.9。

下載地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip

下載后選擇需要掃描的目錄即可開始查殺，如圖 9 所示，在該站點(diǎn)下找到幾百個(gè)黑鏈及后門文件，不看不知道，一看嚇一跳，入侵者真狠！對(duì)這些可疑文件進(jìn)行查看和刪除。

圖 9：查殺后門文件

網(wǎng)站大馬

如圖 10 所示，在服務(wù)器上發(fā)現(xiàn)多個(gè) webshell 大馬，該 webshell 可以對(duì)文件、數(shù)據(jù)庫等進(jìn)行操作，功能強(qiáng)大。

圖 10：網(wǎng)站大馬

沒有最黑，只有更黑

通過對(duì)網(wǎng)站進(jìn)行大小查看，一個(gè)普通的網(wǎng)站竟然超過 20G，明顯不正常，如圖 11 所示，在 data_cache 中，黑客用來做 SEO 竟然高達(dá) 21.8552 萬個(gè)頁面，共計(jì) 15.3G。

圖 11：黑客使用緩存文件高達(dá) 15G 大小

刪除服務(wù)器添加賬號(hào)及后門文件

通過計(jì)算機(jī)管理-“本地用戶和組”-“用戶”，查看計(jì)算機(jī)上所有的用戶

經(jīng)過朋友的確認(rèn)，紅色框住用戶全部為黑客添加賬號(hào)，如圖 12 所示，共計(jì) 7 個(gè)賬號(hào)，將其刪除。

圖 12：黑客添加賬號(hào)

查看管理員組和對(duì)應(yīng)用戶所屬文件夾

如圖 13 所示，通過命令查看管理員及用戶賬號(hào)，并查看當(dāng)前用戶的配置文件，在其配置文件中包含一些黑客攻擊工具，將這些文件全部打包壓縮，然后刪除用戶及其配置文件。

圖 13：查看管理員賬號(hào)及其黑客賬號(hào)配置文件

清理服務(wù)器后門文件

對(duì)于服務(wù)器后門文件清理就要靠個(gè)人經(jīng)驗(yàn)和技術(shù)，一方面可以借助安裝 360 等殺毒軟件來進(jìn)行自動(dòng)查殺，如圖 14 所示，系統(tǒng)盤下一堆病毒。

通過殺毒軟件的查殺可以清理第一批，對(duì)于被入侵過的服務(wù)器，建議是重做系統(tǒng)！

圖 14：使用殺毒軟件對(duì)病毒進(jìn)行查殺處理

實(shí)在沒有辦法只能手工對(duì)病毒進(jìn)行清理。后續(xù)可以借助 autoruns 和 processxp 等工具對(duì)啟動(dòng)項(xiàng)、服務(wù)、進(jìn)程等進(jìn)行查看。

如果發(fā)現(xiàn)無簽名，可以采取以下一些辦法：

• 將可疑文件直接上報(bào)殺毒網(wǎng)站進(jìn)行引擎查殺。可以將樣本直接上報(bào)卡巴斯基和 360 等平臺(tái)。（https://virusdesk.kaspersky.com/、http://sampleup.sd.360.cn/）
• 更多上報(bào)地址請(qǐng)查看http://www.stormcn.cn/post/782.html。
• 通過百度等搜索引擎搜索名稱，查看網(wǎng)上有無相關(guān)資料。
• 對(duì)可疑程序做好備份后，將其刪除。
• 頑固病毒需要通過冰刃以及進(jìn)程管理等工具強(qiáng)行結(jié)束進(jìn)程，然后再刪除。
• 通過 CurrPorts（http://www.nirsoft.net/utils/cports.zip）查看當(dāng)前網(wǎng)絡(luò)連接程序及其相關(guān)情況。
• 實(shí)在不放心就要用抓包程序?qū)Ψ?wù)器進(jìn)行抓包，查看對(duì)外連接。
• 記得清理 shift 后門和放大鏡等可以利用遠(yuǎn)程桌面啟動(dòng)的后門，建議將 shift、放大鏡等程序直接清理或者禁用。

更改所有賬號(hào)及密碼

至此第一段落網(wǎng)站入侵清理完畢，對(duì)所有網(wǎng)站使用的賬號(hào)及密碼進(jìn)行更改，更改所有密碼，包括遠(yuǎn)程桌面，ftp、ssh、后臺(tái)管理、數(shù)據(jù)庫賬號(hào)密碼等。

由于黑客入侵過，可能已經(jīng)下載數(shù)據(jù)庫和獲取所有相關(guān)密碼，因此需要全部進(jìn)行更改。

恢復(fù)網(wǎng)站正常運(yùn)行

對(duì)網(wǎng)站進(jìn)行恢復(fù)，使其正常運(yùn)行，同時(shí)開啟防火墻，對(duì)外僅僅開放 80 端口和遠(yuǎn)程管理端口。

服務(wù)器第二次安全處理

服務(wù)器再次出現(xiàn)掛黑鏈現(xiàn)象

過了兩天服務(wù)器再次出現(xiàn)問題，發(fā)現(xiàn)網(wǎng)站再次出現(xiàn)黑鏈現(xiàn)象，百度搜索該網(wǎng)站域名，出現(xiàn)結(jié)果一訪問就指向賭博網(wǎng)站。

手動(dòng)清理后門文件

再次使用 WebShellKill 工具對(duì)站點(diǎn)進(jìn)行查看

手工對(duì)網(wǎng)站所有 PHP 文件進(jìn)行查看

對(duì)網(wǎng)站所有的 PHP 文件進(jìn)行搜索，安裝文件大小進(jìn)行排序，對(duì)超過 20K 以上文件都需要進(jìn)行查看。

如圖 15 所示，定位到大文件目錄，一看該文件多半是 webshell，如圖 16 所示，打開以后果然是 webshell，采取了加密，所以 WebShellKill 無法查殺，將該文件的 hash 值直接上報(bào)給 WebShellKill 工具。

圖 15：定位大文件位置

圖 16：查看文件內(nèi)容

手工查殺狡猾的后門

對(duì)網(wǎng)站的文件逐個(gè)進(jìn)行查看，文件中有加密字符、亂碼的，多半是 webshell。

如圖 17 所示，另外還發(fā)現(xiàn)存在文件上傳頁面，這種通過工具很難查殺出來。

圖 17：另外加密的 webshell

通過分析日志文件定位后門文件

對(duì)日志文件中的 php 文件進(jìn)行搜索，逐個(gè)進(jìn)行驗(yàn)證，這個(gè)可以通過逆火日志分析軟件來實(shí)現(xiàn)，后續(xù)有介紹。

尋找首頁黑鏈源代碼文件

對(duì)于網(wǎng)站首頁的黑鏈源代碼文件，通過搜索百度等均未發(fā)現(xiàn)有價(jià)值的處理意見，后面通過分析，其代碼一定有加載出來。

對(duì)每一個(gè) js 文件進(jìn)行源頭查看，最終獲取一個(gè)編輯器加載的 node.js 文件，其內(nèi)容如圖 18 所示，明顯就是這個(gè)來實(shí)現(xiàn)的，將其刪除！

圖 18：獲取黑鏈源代碼文件

第二段落的處理完畢后，網(wǎng)站恢復(fù)正常運(yùn)行，同時(shí)修補(bǔ)了發(fā)現(xiàn)的漏洞，以及部分明顯程序漏洞。

日志分析和追蹤

對(duì) IIS 日志進(jìn)行手工分析

• 將 IIS 日志文件生成一個(gè)文件，可以利用命令來實(shí)現(xiàn)：cat *.log>alllog.txt。
• 對(duì)源代碼中存在的后門文件進(jìn)行逐個(gè)梳理，整理出文件名稱。
• 在日志中以文件名為關(guān)鍵字進(jìn)行查看，如圖 19 所示，可以獲取曾經(jīng)訪問過該文件的 IP 地址，這些地址可以用來進(jìn)行跟蹤和案件打擊。

圖 19：手工追蹤黑客 IP 地址

黑客賬號(hào)配置文件分析和追蹤

獲取黑客的 QQ 號(hào)碼

通過查看黑客添加的賬號(hào)下的配置文件，可以獲取黑客曾經(jīng)使用過什么工具，訪問過什么站點(diǎn)等信息，如圖 20 所示，黑客曾經(jīng)在該服務(wù)器上登錄過。

圖 20：獲取黑客訪問的 QQ 號(hào)碼

獲取黑客攻擊高校源代碼

在黑客當(dāng)前賬號(hào)下，還發(fā)現(xiàn)三個(gè)高校站點(diǎn)壓縮包，如圖 21 所示。

圖 21：黑客攻擊其他目標(biāo)

利用逆火對(duì)網(wǎng)站日志進(jìn)行分析處理

分析黑客攻擊 IP 地址

在虛擬機(jī)上安裝逆火日志分析軟件（該軟件已經(jīng)停止更新），如圖 22 所示，安裝完畢后，需要設(shè)置網(wǎng)站的 url、首頁文件和日志文件名稱及位置，完畢后即可進(jìn)行分析。

這里需要注意的是如果需要定位黑客，需要在選項(xiàng)中進(jìn)行配置，將黑客的后門文件名稱加入到文件追蹤和黑客攻擊中。

圖 22：通過日志分析黑客 IP 地址及其相關(guān)行為

對(duì)網(wǎng)站進(jìn)行漏洞分析

如果日志文件足夠多，則可以通過統(tǒng)計(jì)分析，在訪問資源、錯(cuò)誤等內(nèi)容中去發(fā)現(xiàn)存在的漏洞和攻擊行為，這些分析將有助于修補(bǔ)漏洞和發(fā)現(xiàn)攻擊行為，對(duì)存在問題進(jìn)行修復(fù)。

總結(jié)及分析

回顧整個(gè)處理過程，看似簡(jiǎn)單，卻非常耗費(fèi)時(shí)間，通過跟圈內(nèi)朋友交流，我們跟黑客攻擊目標(biāo)網(wǎng)站進(jìn)行 SEO 黑鏈處理，就是一場(chǎng)戰(zhàn)爭(zhēng)。

服務(wù)器上會(huì)有各種木馬和 webshell，第一次以為自己清理完畢，結(jié)果還遺留有加密的 webshell 以及上傳類型的后門，這種后門的清理非常的耗費(fèi)時(shí)間，尤其是在 Windows 下。

整個(gè)過程有以下一些體會(huì)跟大家分享：

• 備份數(shù)據(jù)庫及代碼文件到本地或者其他服務(wù)器。
• 使用 WebShellKill 自動(dòng)清理第一遍，對(duì)第一遍出現(xiàn)的 shell 后門要進(jìn)行登記或者抓圖，特別要統(tǒng)計(jì)文件時(shí)間。
• 利用文件時(shí)間對(duì)文件進(jìn)行搜索，對(duì)同時(shí)間點(diǎn)的文件要進(jìn)行特別查看。
• 對(duì)所有相關(guān)文件類型進(jìn)行搜索，對(duì)大個(gè)頭文件一定要進(jìn)行手工查看。
• 可以在 Windows 操作系統(tǒng)下加載類 Linux 系統(tǒng)對(duì)文件內(nèi)容進(jìn)行掃描，不放過文件包含后門。
• 對(duì)首頁掛馬的 js 文件可以進(jìn)行核實(shí)，找到源頭。
• 將 IIS 日志文件利用逆火日志分析軟件進(jìn)行分析處理，尋找漏洞和黑客 IP。
• 安裝殺毒軟件，開啟防火墻，對(duì)服務(wù)器進(jìn)行安全清理和加固，升級(jí)系統(tǒng)補(bǔ)丁程序。

[[222397]]

陳小兵，高級(jí)工程師，北理工計(jì)算機(jī)學(xué)院博士在讀。擁有豐富的信息系統(tǒng)項(xiàng)目經(jīng)驗(yàn)以及 15 年以上網(wǎng)絡(luò)安全經(jīng)驗(yàn)。現(xiàn)主要從事網(wǎng)絡(luò)安全及數(shù)據(jù)庫技術(shù)研究工作。已出版《SQL Server2000培訓(xùn)教程》《黑客攻防及實(shí)戰(zhàn)案例解析》《Web滲透及實(shí)戰(zhàn)案例解析》《安全之路-Web滲透及實(shí)戰(zhàn)案例解析第二版》、《黑客攻防實(shí)戰(zhàn)加密與解密》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：漏洞利用與提權(quán)》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：MySQL數(shù)據(jù)庫攻擊與防范》共計(jì) 7 本專著，在國(guó)內(nèi)核心期刊及普通學(xué)術(shù)期刊發(fā)表論文 20 余篇，曾在《黑客防線》、《黑客X檔案》、《網(wǎng)管員世界》、《開放系統(tǒng)及世界》、《視窗世界》等雜志發(fā)表文章 100 余篇。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】