欢迎来到天天文库
浏览记录
ID:24586830
大小:664.24 KB
页数:5页
时间:2018-11-15
《环球企业家入侵事件分析处理》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、昨天环球企业家网站发现被入侵,主站被攻击者上传webshell,并植入恶意代码。进一步分下发现,黑客上传了大量漏洞利用程序试图提权,但是未成功。后来跟站长沟通,确定是之前它的配置问题导致注册会员可以上传php文件,目前已经修改此问题。因为攻击者未获得root权限,所以未造成更严重的后果。通过查看日志以及对应文件创建时间,锁定恶意文件位置。首先是一个貌似dedecms程序的后门,分析其代码发现,这其实是个一句话木马,代码如下:黑客将一句话木马拆分成了几部分,丢入show.php中
2、,并将其余代码全部注释掉,让其不容别被发现。利用这段代码,可以执行任意命令。同时,这里还发现黑客在程序中植入了一段很智能的php代码,分析发现其主要用来给几个赌博网站刷流量,代码主要部分如图所示代码伪装的很隐蔽,首先会判断是不是扫描器IP,如果是扫描器则返回正常页面。如果请求参数是action=ad,则会直接跳到一个赌博网站http://s4t.dongtai666.com/js/p2.html如图所示同时还会判断referer,如果是从搜索引擎里点击过去的,则会跳转到http://s4t.dongtai666.com/js/c2.tx
3、t执行这段javascript程序这段js代码是模拟浏览器,发送了一个action=ad请求,最终还是跳转到上面那个赌博网站。然后我们继续分析,下面是一段更加智能的程序。if(isspider()&!isindex())这个if会判断是否为爬虫,并且爬取的是否为主页。如果判断为爬虫但是爬去的是主页,则直接退出,这是为了防止搜索引擎快照中出现不和谐的内容而被发现。如果是判断为爬虫并且非主页的话,则访问另一个赌博网站,而且这里程序写的非常复杂,很容易绕过一些检测工具。跳转后的页面如图所示另外,在系统/tmp目录下,发现大量提权脚本,如图查看
4、1.pl代码,这其实是一个反弹的后门还有一个root2013.pl,这其实一个downloader程序,自动下载各种提权程序执行,但是幸好系统不存在这些可利用的漏洞,攻击者未提权成功。此次事件,攻击者虽然没有获取系统root权限,但是已经可以完全控制整个网站,以及后台数据库。
此文档下载收益归作者所有