【51CTO.com原創(chuàng)稿件】“凌晨 1 點(diǎn)，接到朋友的求助，網(wǎng)站被黑了，訪問(wèn)網(wǎng)站首頁(yè)會(huì)自動(dòng)定向到一個(gè)賭bo網(wǎng)站，這個(gè)時(shí)間點(diǎn)都是該進(jìn)入夢(mèng)鄉(xiāng)的時(shí)間，直接開(kāi)干。

本文分為以下五個(gè)部分介紹：

• 入侵情況分析
• 服務(wù)器第一次安全處理
• 服務(wù)器第二次安全處理
• 日志分析和追蹤
• 總結(jié)及分析

入侵情況分析

查看首頁(yè)代碼

通過(guò)查看首頁(yè)（index.html/index.php）源代碼發(fā)現(xiàn)網(wǎng)站存在 3 處編碼后的代碼，如圖 1 所示，分別在 title、meta 屬性中加入了代碼，對(duì)代碼文件中的其他代碼進(jìn)行查看，未發(fā)現(xiàn)有異常。

圖 1：首頁(yè)中的可疑代碼

Unicode 編碼轉(zhuǎn)換

從首頁(yè)中插入的代碼來(lái)看是 Unicode 編碼，將其復(fù)制到 Unicode 編碼在線解碼的網(wǎng)站（http://tool.chinaz.com/tools/unicode.aspx），并選擇 Unicode 轉(zhuǎn) ASCII。

如圖 2 所示，解碼后的內(nèi)容為菠菜宣傳語(yǔ)，換句話說(shuō)就是黑鏈宣傳，網(wǎng)站被插入黑鏈了。

圖 2：分析網(wǎng)站被插入鏈接

服務(wù)器現(xiàn)狀

公司網(wǎng)站發(fā)現(xiàn)情況后，由于服務(wù)器前期運(yùn)維人員已經(jīng)離職，網(wǎng)站是托管在獨(dú)立服務(wù)器，目前僅僅只有管理員帳號(hào)，所以無(wú)法直接進(jìn)入服務(wù)器。

在該情況下，迅速開(kāi)展以下工作：

• 通過(guò)已知管理員帳號(hào)登錄前臺(tái)和后臺(tái)進(jìn)行查看。登錄前臺(tái)可以使用，后臺(tái)無(wú)法使用，懷疑文件被修改或者刪除，無(wú)法通過(guò)后臺(tái)來(lái)查看如何被入侵的。
• 對(duì)目標(biāo)網(wǎng)站進(jìn)行漏洞掃描。
• 查看同 IP 其他網(wǎng)站。通過(guò)查看該 IP 地址同服務(wù)器其他網(wǎng)站，發(fā)現(xiàn)服務(wù)器上存在 4 個(gè)其他站點(diǎn)，后經(jīng)詢(xún)問(wèn) 4 個(gè)站點(diǎn)均不是公司架設(shè)的。懷疑黑客在服務(wù)器上架設(shè)站點(diǎn)用來(lái)進(jìn)行 SEO 黑鏈服務(wù)。

網(wǎng)站漏洞分析

確認(rèn)網(wǎng)站系統(tǒng)情況

手工通過(guò) robots.txt 文件確認(rèn)網(wǎng)站采用某網(wǎng)站 CMS v7 版本，這個(gè)系統(tǒng)很多漏洞，一看心里就涼了。

發(fā)現(xiàn)列目錄漏洞

通過(guò)手工和掃描判斷服務(wù)器配置上沒(méi)有禁止目錄瀏覽，導(dǎo)致服務(wù)器所有目錄均可以被訪問(wèn)。

如圖 3 所示，通過(guò) upload_files 可以看到很多 447 字節(jié)的 PHP 文件，第一感覺(jué)就是掛馬、黑鏈創(chuàng)建文件或者是后門(mén)文件。

后面通過(guò)分析一句話后門(mén)的大小，一句話后門(mén) <?php@eval($_POST['cmd']);?> 文件的大小為 30 字節(jié)，跟 447 字節(jié)相差太遠(yuǎn)，直接排除一句話后門(mén)，當(dāng)然有可能是加密的一句話后門(mén)。

圖 3：列目錄漏洞

發(fā)現(xiàn)本地文件下載漏洞

通過(guò)了解此網(wǎng)站 CMS V7 版本存在的漏洞發(fā)現(xiàn)存在一個(gè)文件下載漏洞，其漏洞利用為：http://www.*******.org.cn/do/job.php?job=download&url=base64 編碼文件地址，base64 編碼文件地址。

例如 data/config.php 需要將最后一個(gè) p 更換為“<”，例如分別要讀取 data/config.php、data/uc_config.php、data/mysql_config.php 文件。

其對(duì)應(yīng) url 中的未編碼地址應(yīng)為：data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<，利用如下：

• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8
• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8
• http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在瀏覽器中訪問(wèn)即可下載這些文件，在本地打開(kāi)即可查看代碼，如圖 4 所示，讀取到數(shù)據(jù)庫(kù)配置是 root 賬號(hào)。

圖 4：獲取網(wǎng)站敏感文件內(nèi)容

通過(guò)同樣的方法讀取 upload_files/kongzhipin.php 文件，其內(nèi)容如圖 5 所示，典型的 SEO 手法。

圖 5：網(wǎng)站 SEO 黑鏈代碼源文件

獲取本地物理地址

通過(guò)訪問(wèn) cache/hack 目錄下的 search.php 文件，成功獲取網(wǎng)站的真實(shí)物理路徑。

如圖 6 所示，目前有 mysql root 賬號(hào)和密碼，有真實(shí)路徑，離獲取 webshell 已經(jīng)很近了。

圖 6：獲取真實(shí)物理路徑

文件上傳及 IIS 解析漏洞

如圖 7 所示，可以通過(guò) ckfinder.html 在其上傳目錄中創(chuàng)建 1.asp 和 1.php 目錄，如果服務(wù)器存在解析漏洞可以直接獲取 webshell。

圖 7：文件解析及上傳漏洞

數(shù)據(jù)庫(kù)導(dǎo)入漏洞

如圖 8 所示，通過(guò)文件目錄漏洞發(fā)現(xiàn)在數(shù)據(jù)庫(kù)備份目錄存有數(shù)據(jù)庫(kù)備份文件，前期通過(guò)文件下載漏洞獲取了數(shù)據(jù)庫(kù)用戶(hù)名和密碼，在這里輸入后，可以使用舊數(shù)據(jù)覆蓋新數(shù)據(jù)。

在實(shí)際測(cè)試時(shí)一定要小心，一旦使用該漏洞進(jìn)行測(cè)試，對(duì)數(shù)據(jù)庫(kù)將是毀滅性的，數(shù)據(jù)庫(kù)導(dǎo)入一般都是先 drop，后插入。

因此執(zhí)行此操作后，能成功恢復(fù)數(shù)據(jù)的可能性非常低，建議網(wǎng)站管理人員定期備份數(shù)據(jù)庫(kù)以及代碼文件！

圖 8：數(shù)據(jù)庫(kù)導(dǎo)入漏洞

服務(wù)器第一次安全處理

備份當(dāng)前網(wǎng)站代碼及數(shù)據(jù)庫(kù)

最重要的事情就是備份，備份數(shù)據(jù)庫(kù)及其代碼文件到本地，注意是備份當(dāng)前的數(shù)據(jù)庫(kù)和源代碼。

如果是要報(bào)案，則最好使用備份服務(wù)器恢復(fù)網(wǎng)站和數(shù)據(jù)，被入侵服務(wù)器留好數(shù)據(jù)，便于打擊和取證，備份源代碼和數(shù)據(jù)庫(kù)可以用在后面進(jìn)行分析，對(duì)黑客進(jìn)行追蹤和定位。

使用 WebShellKill 查找后門(mén)文件

查殺后門(mén)

個(gè)人覺(jué)得 WebShellKill 這個(gè)工具不錯(cuò)，可以自動(dòng)檢測(cè)很多已知的后門(mén)文件和一些病毒文件，它的最新版本是 2.0.9。

下載地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip

下載后選擇需要掃描的目錄即可開(kāi)始查殺，如圖 9 所示，在該站點(diǎn)下找到幾百個(gè)黑鏈及后門(mén)文件，不看不知道，一看嚇一跳，入侵者真狠！對(duì)這些可疑文件進(jìn)行查看和刪除。

圖 9：查殺后門(mén)文件

網(wǎng)站大馬

如圖 10 所示，在服務(wù)器上發(fā)現(xiàn)多個(gè) webshell 大馬，該 webshell 可以對(duì)文件、數(shù)據(jù)庫(kù)等進(jìn)行操作，功能強(qiáng)大。

圖 10：網(wǎng)站大馬

沒(méi)有最黑，只有更黑

通過(guò)對(duì)網(wǎng)站進(jìn)行大小查看，一個(gè)普通的網(wǎng)站竟然超過(guò) 20G，明顯不正常，如圖 11 所示，在 data_cache 中，黑客用來(lái)做 SEO 竟然高達(dá) 21.8552 萬(wàn)個(gè)頁(yè)面，共計(jì) 15.3G。

圖 11：黑客使用緩存文件高達(dá) 15G 大小

刪除服務(wù)器添加賬號(hào)及后門(mén)文件

通過(guò)計(jì)算機(jī)管理-“本地用戶(hù)和組”-“用戶(hù)”，查看計(jì)算機(jī)上所有的用戶(hù)

經(jīng)過(guò)朋友的確認(rèn)，紅色框住用戶(hù)全部為黑客添加賬號(hào)，如圖 12 所示，共計(jì) 7 個(gè)賬號(hào)，將其刪除。

圖 12：黑客添加賬號(hào)

查看管理員組和對(duì)應(yīng)用戶(hù)所屬文件夾

如圖 13 所示，通過(guò)命令查看管理員及用戶(hù)賬號(hào)，并查看當(dāng)前用戶(hù)的配置文件，在其配置文件中包含一些黑客攻擊工具，將這些文件全部打包壓縮，然后刪除用戶(hù)及其配置文件。

圖 13：查看管理員賬號(hào)及其黑客賬號(hào)配置文件

清理服務(wù)器后門(mén)文件

對(duì)于服務(wù)器后門(mén)文件清理就要靠個(gè)人經(jīng)驗(yàn)和技術(shù)，一方面可以借助安裝 360 等殺毒軟件來(lái)進(jìn)行自動(dòng)查殺，如圖 14 所示，系統(tǒng)盤(pán)下一堆病毒。

通過(guò)殺毒軟件的查殺可以清理第一批，對(duì)于被入侵過(guò)的服務(wù)器，建議是重做系統(tǒng)！

圖 14：使用殺毒軟件對(duì)病毒進(jìn)行查殺處理

實(shí)在沒(méi)有辦法只能手工對(duì)病毒進(jìn)行清理。后續(xù)可以借助 autoruns 和 processxp 等工具對(duì)啟動(dòng)項(xiàng)、服務(wù)、進(jìn)程等進(jìn)行查看。

如果發(fā)現(xiàn)無(wú)簽名，可以采取以下一些辦法：

• 將可疑文件直接上報(bào)殺毒網(wǎng)站進(jìn)行引擎查殺?？梢詫颖局苯由蠄?bào)卡巴斯基和 360 等平臺(tái)。（https://virusdesk.kaspersky.com/、http://sampleup.sd.#/）
• 更多上報(bào)地址請(qǐng)查看http://www.stormcn.cn/post/782.html。
• 通過(guò)百度等搜索引擎搜索名稱(chēng)，查看網(wǎng)上有無(wú)相關(guān)資料。
• 對(duì)可疑程序做好備份后，將其刪除。
• 頑固病毒需要通過(guò)冰刃以及進(jìn)程管理等工具強(qiáng)行結(jié)束進(jìn)程，然后再刪除。
• 通過(guò) CurrPorts（http://www.nirsoft.net/utils/cports.zip）查看當(dāng)前網(wǎng)絡(luò)連接程序及其相關(guān)情況。
• 實(shí)在不放心就要用抓包程序?qū)Ψ?wù)器進(jìn)行抓包，查看對(duì)外連接。
• 記得清理 shift 后門(mén)和放大鏡等可以利用遠(yuǎn)程桌面啟動(dòng)的后門(mén)，建議將 shift、放大鏡等程序直接清理或者禁用。

更改所有賬號(hào)及密碼

至此第一段落網(wǎng)站入侵清理完畢，對(duì)所有網(wǎng)站使用的賬號(hào)及密碼進(jìn)行更改，更改所有密碼，包括遠(yuǎn)程桌面，ftp、ssh、后臺(tái)管理、數(shù)據(jù)庫(kù)賬號(hào)密碼等。

由于黑客入侵過(guò)，可能已經(jīng)下載數(shù)據(jù)庫(kù)和獲取所有相關(guān)密碼，因此需要全部進(jìn)行更改。

恢復(fù)網(wǎng)站正常運(yùn)行

對(duì)網(wǎng)站進(jìn)行恢復(fù)，使其正常運(yùn)行，同時(shí)開(kāi)啟防火墻，對(duì)外僅僅開(kāi)放 80 端口和遠(yuǎn)程管理端口。

服務(wù)器第二次安全處理

服務(wù)器再次出現(xiàn)掛黑鏈現(xiàn)象

過(guò)了兩天服務(wù)器再次出現(xiàn)問(wèn)題，發(fā)現(xiàn)網(wǎng)站再次出現(xiàn)黑鏈現(xiàn)象，百度搜索該網(wǎng)站域名，出現(xiàn)結(jié)果一訪問(wèn)就指向賭博網(wǎng)站。

手動(dòng)清理后門(mén)文件

再次使用 WebShellKill 工具對(duì)站點(diǎn)進(jìn)行查看

手工對(duì)網(wǎng)站所有 PHP 文件進(jìn)行查看

對(duì)網(wǎng)站所有的 PHP 文件進(jìn)行搜索，安裝文件大小進(jìn)行排序，對(duì)超過(guò) 20K 以上文件都需要進(jìn)行查看。

如圖 15 所示，定位到大文件目錄，一看該文件多半是 webshell，如圖 16 所示，打開(kāi)以后果然是 webshell，采取了加密，所以 WebShellKill 無(wú)法查殺，將該文件的 hash 值直接上報(bào)給 WebShellKill 工具。

圖 15：定位大文件位置

圖 16：查看文件內(nèi)容

手工查殺狡猾的后門(mén)

對(duì)網(wǎng)站的文件逐個(gè)進(jìn)行查看，文件中有加密字符、亂碼的，多半是 webshell。

如圖 17 所示，另外還發(fā)現(xiàn)存在文件上傳頁(yè)面，這種通過(guò)工具很難查殺出來(lái)。

圖 17：另外加密的 webshell

通過(guò)分析日志文件定位后門(mén)文件

對(duì)日志文件中的 php 文件進(jìn)行搜索，逐個(gè)進(jìn)行驗(yàn)證，這個(gè)可以通過(guò)逆火日志分析軟件來(lái)實(shí)現(xiàn)，后續(xù)有介紹。

尋找首頁(yè)黑鏈源代碼文件

對(duì)于網(wǎng)站首頁(yè)的黑鏈源代碼文件，通過(guò)搜索百度等均未發(fā)現(xiàn)有價(jià)值的處理意見(jiàn)，后面通過(guò)分析，其代碼一定有加載出來(lái)。

對(duì)每一個(gè) js 文件進(jìn)行源頭查看，最終獲取一個(gè)編輯器加載的 node.js 文件，其內(nèi)容如圖 18 所示，明顯就是這個(gè)來(lái)實(shí)現(xiàn)的，將其刪除！

圖 18：獲取黑鏈源代碼文件

第二段落的處理完畢后，網(wǎng)站恢復(fù)正常運(yùn)行，同時(shí)修補(bǔ)了發(fā)現(xiàn)的漏洞，以及部分明顯程序漏洞。

日志分析和追蹤

對(duì) IIS 日志進(jìn)行手工分析

• 將 IIS 日志文件生成一個(gè)文件，可以利用命令來(lái)實(shí)現(xiàn)：cat *.log>alllog.txt。
• 對(duì)源代碼中存在的后門(mén)文件進(jìn)行逐個(gè)梳理，整理出文件名稱(chēng)。
• 在日志中以文件名為關(guān)鍵字進(jìn)行查看，如圖 19 所示，可以獲取曾經(jīng)訪問(wèn)過(guò)該文件的 IP 地址，這些地址可以用來(lái)進(jìn)行跟蹤和案件打擊。

圖 19：手工追蹤黑客 IP 地址

黑客賬號(hào)配置文件分析和追蹤

獲取黑客的 QQ 號(hào)碼

通過(guò)查看黑客添加的賬號(hào)下的配置文件，可以獲取黑客曾經(jīng)使用過(guò)什么工具，訪問(wèn)過(guò)什么站點(diǎn)等信息，如圖 20 所示，黑客曾經(jīng)在該服務(wù)器上登錄過(guò)。

圖 20：獲取黑客訪問(wèn)的 QQ 號(hào)碼

獲取黑客攻擊高校源代碼

在黑客當(dāng)前賬號(hào)下，還發(fā)現(xiàn)三個(gè)高校站點(diǎn)壓縮包，如圖 21 所示。

圖 21：黑客攻擊其他目標(biāo)

利用逆火對(duì)網(wǎng)站日志進(jìn)行分析處理

分析黑客攻擊 IP 地址

在虛擬機(jī)上安裝逆火日志分析軟件（該軟件已經(jīng)停止更新），如圖 22 所示，安裝完畢后，需要設(shè)置網(wǎng)站的 url、首頁(yè)文件和日志文件名稱(chēng)及位置，完畢后即可進(jìn)行分析。

這里需要注意的是如果需要定位黑客，需要在選項(xiàng)中進(jìn)行配置，將黑客的后門(mén)文件名稱(chēng)加入到文件追蹤和黑客攻擊中。

圖 22：通過(guò)日志分析黑客 IP 地址及其相關(guān)行為

對(duì)網(wǎng)站進(jìn)行漏洞分析

如果日志文件足夠多，則可以通過(guò)統(tǒng)計(jì)分析，在訪問(wèn)資源、錯(cuò)誤等內(nèi)容中去發(fā)現(xiàn)存在的漏洞和攻擊行為，這些分析將有助于修補(bǔ)漏洞和發(fā)現(xiàn)攻擊行為，對(duì)存在問(wèn)題進(jìn)行修復(fù)。

總結(jié)及分析

回顧整個(gè)處理過(guò)程，看似簡(jiǎn)單，卻非常耗費(fèi)時(shí)間，通過(guò)跟圈內(nèi)朋友交流，我們跟黑客攻擊目標(biāo)網(wǎng)站進(jìn)行 SEO 黑鏈處理，就是一場(chǎng)戰(zhàn)爭(zhēng)。

服務(wù)器上會(huì)有各種木馬和 webshell，第一次以為自己清理完畢，結(jié)果還遺留有加密的 webshell 以及上傳類(lèi)型的后門(mén)，這種后門(mén)的清理非常的耗費(fèi)時(shí)間，尤其是在 Windows 下。

整個(gè)過(guò)程有以下一些體會(huì)跟大家分享：

• 備份數(shù)據(jù)庫(kù)及代碼文件到本地或者其他服務(wù)器。
• 使用 WebShellKill 自動(dòng)清理第一遍，對(duì)第一遍出現(xiàn)的 shell 后門(mén)要進(jìn)行登記或者抓圖，特別要統(tǒng)計(jì)文件時(shí)間。
• 利用文件時(shí)間對(duì)文件進(jìn)行搜索，對(duì)同時(shí)間點(diǎn)的文件要進(jìn)行特別查看。
• 對(duì)所有相關(guān)文件類(lèi)型進(jìn)行搜索，對(duì)大個(gè)頭文件一定要進(jìn)行手工查看。
• 可以在 Windows 操作系統(tǒng)下加載類(lèi) Linux 系統(tǒng)對(duì)文件內(nèi)容進(jìn)行掃描，不放過(guò)文件包含后門(mén)。
• 對(duì)首頁(yè)掛馬的 js 文件可以進(jìn)行核實(shí)，找到源頭。
• 將 IIS 日志文件利用逆火日志分析軟件進(jìn)行分析處理，尋找漏洞和黑客 IP。
• 安裝殺毒軟件，開(kāi)啟防火墻，對(duì)服務(wù)器進(jìn)行安全清理和加固，升級(jí)系統(tǒng)補(bǔ)丁程序。

[[222397]]

陳小兵，高級(jí)工程師，北理工計(jì)算機(jī)學(xué)院博士在讀。擁有豐富的信息系統(tǒng)項(xiàng)目經(jīng)驗(yàn)以及 15 年以上網(wǎng)絡(luò)安全經(jīng)驗(yàn)。現(xiàn)主要從事網(wǎng)絡(luò)安全及數(shù)據(jù)庫(kù)技術(shù)研究工作。已出版《SQL Server2000培訓(xùn)教程》《黑客攻防及實(shí)戰(zhàn)案例解析》《Web滲透及實(shí)戰(zhàn)案例解析》《安全之路-Web滲透及實(shí)戰(zhàn)案例解析第二版》、《黑客攻防實(shí)戰(zhàn)加密與解密》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：漏洞利用與提權(quán)》、《網(wǎng)絡(luò)攻防實(shí)戰(zhàn)研究：MySQL數(shù)據(jù)庫(kù)攻擊與防范》共計(jì) 7 本專(zhuān)著，在國(guó)內(nèi)核心期刊及普通學(xué)術(shù)期刊發(fā)表論文 20 余篇，曾在《黑客防線》、《黑客X檔案》、《網(wǎng)管員世界》、《開(kāi)放系統(tǒng)及世界》、《視窗世界》等雜志發(fā)表文章 100 余篇。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】