环球企业家入侵事件分析处理

《环球企业家入侵事件分析处理》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、昨天环球企业家网站发现被入侵，主站被攻击者上传webshell，并植入恶意代码。进一步分下发现，黑客上传了大量漏洞利用程序试图提权，但是未成功。后来跟站长沟通，确定是之前它的配置问题导致注册会员可以上传php文件，目前已经修改此问题。因为攻击者未获得root权限，所以未造成更严重的后果。通过查看日志以及对应文件创建时间，锁定恶意文件位置。首先是一个貌似dedecms程序的后门，分析其代码发现，这其实是个一句话木马，代码如下：黑客将一句话木马拆分成了几部分，丢入show.php中

2、，并将其余代码全部注释掉，让其不容别被发现。利用这段代码，可以执行任意命令。同时，这里还发现黑客在程序中植入了一段很智能的php代码，分析发现其主要用来给几个赌博网站刷流量，代码主要部分如图所示代码伪装的很隐蔽，首先会判断是不是扫描器IP，如果是扫描器则返回正常页面。如果请求参数是action=ad，则会直接跳到一个赌博网站http://s4t.dongtai666.com/js/p2.html如图所示同时还会判断referer，如果是从搜索引擎里点击过去的，则会跳转到http://s4t.dongtai666.com/js/c2.tx

3、t执行这段javascript程序这段js代码是模拟浏览器，发送了一个action=ad请求，最终还是跳转到上面那个赌博网站。然后我们继续分析，下面是一段更加智能的程序。if(isspider()&!isindex())这个if会判断是否为爬虫，并且爬取的是否为主页。如果判断为爬虫但是爬去的是主页，则直接退出，这是为了防止搜索引擎快照中出现不和谐的内容而被发现。如果是判断为爬虫并且非主页的话，则访问另一个赌博网站，而且这里程序写的非常复杂，很容易绕过一些检测工具。跳转后的页面如图所示另外，在系统/tmp目录下，发现大量提权脚本，如图查看

4、1.pl代码，这其实是一个反弹的后门还有一个root2013.pl，这其实一个downloader程序，自动下载各种提权程序执行，但是幸好系统不存在这些可利用的漏洞，攻击者未提权成功。此次事件，攻击者虽然没有获取系统root权限，但是已经可以完全控制整个网站，以及后台数据库。