1. 虛擬機(jī)的世界

一個(gè)安靜的夜晚，我，一個(gè)新的線程誕生了！

我抬頭一看，原來(lái)我降生的地方是在一個(gè)IE瀏覽器中，這里是一個(gè)Windows帝國(guó)！

一生下來(lái)就要干活了，拿著我的代碼開始忙活。

忙碌了一會(huì)兒，正當(dāng)我在磁盤上寫入了一個(gè)kernerl32.dll文件，我突然被凍結(jié)了，動(dòng)彈不得，不僅如此，我看到其他線程也被凍結(jié)了，整個(gè)Windows帝國(guó)像是被冰封了一般！

“小樣，總算現(xiàn)出了原型，果然是一個(gè)漏洞攻擊網(wǎng)頁(yè)！”，周圍突然響起了一個(gè)聲音。

“誰(shuí)？誰(shuí)在說(shuō)話？”，我大聲呼喊。

“別掙扎了，你現(xiàn)在在虛擬機(jī)里，命運(yùn)由我掌控！”。

虛擬機(jī)？！原來(lái)這個(gè)Windows帝國(guó)是一個(gè)虛擬的世界，我開始為我的命運(yùn)擔(dān)憂起來(lái)。

突然，漆黑降臨，身邊的線程一個(gè)個(gè)消失，帝國(guó)大廈也陸續(xù)坍塌，終于，輪到了我，我這短暫的一生就這樣結(jié)束了·······

這到底是怎么一回事？故事還得從那個(gè)被WAF公司攔下的HTTP數(shù)據(jù)包說(shuō)起。

2. 突襲nginx公司

WAF公司攔下那個(gè)數(shù)據(jù)包的當(dāng)晚，黑衣人帶隊(duì)闖入nginx公司。

“把你們頭兒叫來(lái)，我們是WAF公司的安全人員，發(fā)現(xiàn)一起針對(duì)80端口的SQL注入，經(jīng)查80端口是你們nginx公司在監(jiān)聽”。

小馬哥聞?dòng)嵹s來(lái)，了解情況后，卻松了一口氣。

”這位大哥，80端口確實(shí)是我們?cè)诒O(jiān)聽不錯(cuò)，但我們只是做代理轉(zhuǎn)發(fā)，實(shí)際提供服務(wù)的是隔壁Apache公司，你們還是去他們那里看看吧“。

見(jiàn)黑衣人不信，小馬哥拿出了公司的配置文件： 

server {  
    listen   80;  
    location / {  
        proxy_pass http://127.0.0.1:8088;  
    }     
} 

黑衣人看罷，查了下8088端口的監(jiān)聽者，轉(zhuǎn)身離去，直奔Apache公司。

3. 發(fā)現(xiàn)案情

Apache公司當(dāng)值的小胖被黑衣人的來(lái)勢(shì)洶洶嚇了一跳，表明來(lái)意后，小胖帶著黑衣人來(lái)到了日志管理部門，開始分析起了這段時(shí)間的Web日志。

不看不知道，一看嚇一跳，原來(lái)在WAF公司來(lái)到帝國(guó)之前，已經(jīng)發(fā)生了多起的SQL注入事件！

突然一條日志中的SQL引起了黑衣人的注意： 

select url from imgs into   
outfile '/var/www/welcome.php' 

這是向磁盤寫入了一個(gè)文件??！憑借多年經(jīng)驗(yàn)，黑衣人斷定welcome.php是一個(gè)webshell木馬。

一旁的小胖也嚇了一跳，趕緊解釋說(shuō)：大人，這不關(guān)我們Aapche的事兒啊，這是那個(gè)外包公司PHP搞的，是他們的問(wèn)題。

黑衣人沒(méi)有多言，連忙去帝國(guó)文件管理部去檢查這個(gè)文件。

然而當(dāng)黑衣人拿到這個(gè)文件后，發(fā)現(xiàn)它和自己見(jiàn)過(guò)的webshell并不一樣，內(nèi)容中出現(xiàn)了不少的js代碼和大量的未知編碼數(shù)據(jù)。

黑衣人想起遠(yuǎn)在Windows帝國(guó)的老周，或許他知道這是什么。

[[322624]]

（關(guān)于老周的故事，歡迎移步：我是一個(gè)殺毒軟件線程）

361殺毒公司的老周收到了黑衣人的消息，開始對(duì)這個(gè)文件進(jìn)行分析。老周看著有點(diǎn)眼熟，但又想不起何時(shí)曾經(jīng)見(jiàn)過(guò)。

老周不敢貿(mào)然讓其運(yùn)行，以防發(fā)生不測(cè)，決定將其放在一個(gè)虛擬的環(huán)境中運(yùn)行，看看它的反應(yīng)。

于是發(fā)生了前面的那一幕······

4. 大戰(zhàn)前夕

老周準(zhǔn)備向WAF公司黑衣人反饋分析的結(jié)果。

老弟：

你讓我分析的文件已經(jīng)有結(jié)果了。

昨天剛拿到的時(shí)候還覺(jué)得有點(diǎn)眼熟，今天一分析果然，之前我們這里的IE瀏覽器就曾經(jīng)中過(guò)招！

這是一個(gè)包含瀏覽器漏洞攻擊的網(wǎng)頁(yè)，Windows帝國(guó)的IE瀏覽器只要一打開就會(huì)被植入木馬程序。

詳細(xì)的分析報(bào)告請(qǐng)?jiān)诟郊胁榭础?/p>

——老周

黑衣人收到老周的報(bào)告，心里更加的忐忑，從日志分析來(lái)看，這條SQL注入記錄已經(jīng)有一個(gè)多月了，這期間已經(jīng)有數(shù)不清的瀏覽器來(lái)請(qǐng)求這個(gè)welcome.php頁(yè)面，不知道有多少人中了招。。。

容不得多想，黑衣人趕緊清除了這個(gè)文件，并讓小胖通知PHP公司，修復(fù)漏洞。

夜深了，黑衣人離去，一切重歸安寧。

[[322625]]

Linux帝國(guó)網(wǎng)絡(luò)部負(fù)責(zé)TCP連接的小Q準(zhǔn)備打個(gè)盹兒，這么晚估計(jì)是沒(méi)有活干了。沒(méi)想到剛躺下，就來(lái)了一個(gè)連接請(qǐng)求，小Q揉揉惺忪的睡眼，準(zhǔn)備來(lái)處理，然后接著很快來(lái)了第二個(gè)，第三個(gè)，第四個(gè)······

奇怪的是，每一個(gè)連接只發(fā)送了一個(gè)SYN就沒(méi)了音訊，小Q開始意識(shí)到情況不妙，拉響了帝國(guó)安全警報(bào)······

[[322626]]

未完待續(xù)·······