环球企业家入侵事件分析处理

下载本文档

ID 503585
格式 docx
大小 664.24 KB
约5页
收藏
点赞(0)
海报
举报

/ 5

下载本文档

文本预览下载提示常见问题

昨天环球企业家网站发现被入侵，主站被攻击者上传webshell，并植入恶意代码。进一步分下发现，黑客上传了大量漏洞利用程序试图提权，但是未成功。后来跟站长沟通，确定是之前它的配置问题导致注册会员可以上传php文件，目前已经修改此问题。因为攻击者未获得root权限，所以未造成更严重的后果。通过查看日志以及对应文件创建时间，锁定恶意文件位置。首先是一个貌似dedecms程序的后门，分析其代码发现，这其实是个一句话木马，代码如下：黑客将一句话木马拆分成了几部分，丢入show.php中，并将其余代码全部注释掉，让其不容别被发现。利用这段代码，可以执行任意命令。同时，这里还发现黑客在程序中植入了一段很智能的php代码，分析发现其主要用来给几个赌博网站刷流量，代码主要部分如图所示代码伪装的很隐蔽，首先会判断是不是扫描器IP，如果是扫描器则返回正常页面。如果请求参数是action=ad，则会直接跳到一个赌博网站http://s4t.dongtai666.com/js/p2.html如图所示同时还会判断referer，如果是从搜索引擎里点击过去的，则会跳转到http://s4t.dongtai666.com/js/c2.txt执行这段javascript程序这段js代码是模拟浏览器，发送了一个action=ad请求，最终还是跳转到上面那个赌博网站。然后我们继续分析，下面是一段更加智能的程序。if(isspider()&!isindex())这个if会判断是否为爬虫，并且爬取的是否为主页。如果判断为爬虫但是爬去的是主页，则直接退出，这是为了防止搜索引擎快照中出现不和谐的内容而被发现。如果是判断为爬虫并且非主页的话，则访问另一个赌博网站，而且这里程序写的非常复杂，很容易绕过一些检测工具。跳转后的页面如图所示另外，在系统/tmp目录下，发现大量提权脚本，如图查看1.pl代码，这其实是一个反弹的后门还有一个root2013.pl，这其实一个downloader程序，自动下载各种提权程序执行，但是幸好系统不存在这些可利用的漏洞，攻击者未提权成功。此次事件，攻击者虽然没有获取系统root权限，但是已经可以完全控制整个网站，以及后台数据库。

1、当您付费下载文档后，您只拥有了使用权限，并不意味着购买了版权，文档只能用于自身使用，不得用于其他商业用途（如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利）。
2、本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供参考，付费前请自行鉴别。
3、如文档内容存在侵犯商业秘密、侵犯著作权等，请点击“举报”。