某网站首页内容被篡改,网站标题被修改为缅甸腾龙娱乐公司。 

1.jpg

文件修改时间被篡改为 2015 年

2.jpg

通过扫描网站目录发现如下后门文件 

3.jpg

从后门文件创建事件以及 index.php 的修改时间来看,最早在 18 年 11月 20 号就被上传了后门程序,并进行了首页的篡改。

4.jpg

最近一次后门是在 19 年 5 月 21 号上传,由于系统只是保留了 19 年的日志,所以,本次重点分析 5 月 21 号这次攻击。

排查过程

对系统当前连接进行查看,未发现异常连接,未发现服务器与非正常 ip地址建立连接。查看任务管理器未发现占用较高 cpu、内存的异常进程。

日志分析
从 5 月 21 号日志可见,攻击者进行了一轮目录枚举

5.jpg

攻击者利用织梦 cms apche+win 环境下的短文件名泄露漏洞,可获取管理员密码。 通过访问 http://xxx.xxx.xxx//data/backupdata/dede_m~1.txt,获取 admin账号,并成功登录系统

6.jpg

在后台访问dede/file_manage_view.php?fmdo=upload&activepath=路径,
进行恶意文件上传,上传 5678.php 成功,上传时间为 5 月 21

7.jpg

8.jpg

后门 5678.php 的具体内容如下

9.jpg

从日志中可见攻击者利用 5678.php 做了一系列查询操作

10.jpg

在 6 月 13 号的时候,攻击者通过访问 5678.php,上传了 code.php 一句话木马。

11.jpg

code.php 具体内容如下,该菜刀马同样也是免杀马,测试了下 win10自带的防护、D 盾都无法查杀出来是后门文件。

12.jpg

继续分析日志,从日志来看,攻击者又通过连接 code.php 做了一些操作,但是具体行为无法判断

13.jpg

异常用户分析
通过查看用户发现系统上存在 cloudbase-init 异常用户,最后一次登录时间为 6 月 6 号。

14.jpg

查看用户配置文件,该用户第一次登录时间应该在 2018 年 4 月 25 日

15.jpg

其桌面上被传入了 xmrig 挖矿软件,文件建立时间为 6 月 16 号。

16.jpg

关于这个挖矿软件无法确实是如何上传的,攻击者要么是通过 3389 远程链接进行拷贝或是通过浏览器下载、要么是通过后门上传,简单排查过程

根据文件建立时间了,看了相关日志,发现这段时间没有用户登录系统

17.jpg

查看系统日志,发现存在一条 termdd 56 日志,时间是 6 月 16 日 0 点08 分,虽然和挖矿软件时间接近,但是该日志并未显示登录成功。

18.jpg

查看 recent 也未发现相关行为

19.jpg

查看了浏览器的历史记录,未发现相关内容

20.jpg

在来看看系统日志,查看 15 号日志未发现登录通过 shell 连接系统,16
号日志也未发现异常。

21.jpg

最后来简单分析下发现的 5678.php 的后门木马,本地搭建测试环境,木马访问如下:

22.jpg

万事俱备只差 password,从 5678.php 的具体内容来看,就是先对 info内容进行 base64 解码,然后又利用 gzinflate 函数进行解压,然后执行,然而还是不知道密码。

23.jpg

先利用 base64_decode 解码、再 gzinflate 解压,看看输出内容

24.jpg

具体结果输出如下

25.jpg

虽然很长,看着像是一段乱码,但是其实就是就是一段 php 代码,执行了 7 句代码,生成如下参数 第一步先是利用 urldecode 生成$O00OO0,

26.jpg

echo $O00OO0,输出的结果如下:
n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j
第二步生成$O00O0O

27.jpg

echo $O00O0O,输出结果如下:
base64_decode
最后将 eval 替换为 echo,$O00O0O 替换为 base64_decode

28.jpg

结果输出如下:

29.jpg

此时在将 eval 修改为 echo,即可成功输出我们期待已久的结果,密码
为 hacker567

30.jpg

登录成功

31.jpg

从日志中分析可看出最早从 19 年 1 月份,就有利用 thinkphp 命令执行漏洞进行攻击,进行目录枚举,利用织梦注入漏洞、添加后台用账户等通用性漏洞进行攻击尝试,虽然均未成功,但系统处于水深火热之中。 通过日志分析攻击成功的可疑 ip 地址如下:112.114.103.247、112.114.103.122、112.114.105.17、112.114.101.202、112.114.102.234,其 ip归属地均为云南省临沧市,上述地址5 月 21 日、6 月 13 日均访问过5678.php 的后门程序

文章中后门源码

http://docs.landui.com/wp-content/uploads/2020/01/5678.zip