当前位置:首页 > 资讯 > 正文

webshell交易(webshell检测)

一.事件描述

1日,某公司接到监管单位通知,该公司网站存在色情违法内容.....所以我不得不再发一次。首先我向客户要了网站的地址,看看哪里有非法内容。翻遍了网站的子页面,都显示正常。回到首页,按F12果然网站的关键词标签被修改了。

webshell交易(webshell检测) 第1张

二、现场处置

我带着我的小电驴到达现场后,就开始和负责网站的管理员交谈,了解目前的网络情况。当前网站部署在四川西部的一家数字服务提供商上。租用的虚拟空房间没有登录服务器的权限。通常维护更新文件都是通过FTP上传更新,没有购买任何安全防护。

因为网站首页文件被修改过,所以我们看到index.html的修改日期是6月28日19:08,也就是这个时候已经被篡改了。值得注意的是,当我们需要将FTP上的文件下载到本地电脑查看时,需要将virtual 空房间中的所有源文件打包成一个压缩包进行下载,否则文件的修改时间将是使用FTP逐个下载时的当前下载时间,以后再进行合并。

webshell交易(webshell检测) 第2张

三。事件分析

当页面被恶意篡改时,说明已经获取了网站的控制权,修改的内容是首页的源代码文件,说明获取的权限大于后台管理员的权限,可以随意更改源代码。但不排除有些网站有编辑网页源代码的后台管理功能,所以后门文件肯定是黑客在那个网站上传的。

下面我们用D-Shield webshell查杀工具选择网站的wwwroot根目录进行全面查杀,看看到底有多少后门文件被黑客上传了。我们可以看到一共检测到5731个文件,其中有6个文件:radminpass.php是dedecms的管理员重置脚本,config.php、buak.php、lower.php、pig.php、need.php都是大马的后门文件。

webshell交易(webshell检测) 第3张

这时,细心的朋友才发现,radminpass.php的密码重置脚本和其他后门的修改时间相差两年,却和建站时生成的文件时间一样长。当时我就在想为什么不一样。让我们先来看看radminpass.php的角色。

它是由radminpass.php智盟官方发布的管理员密码重置工具。你只需要通过ftp将对应的编码radminpass.php文件上传到网站的根目录,访问该文件(例如http://www.xxx.com/radminpass.php)将域名改为自己网站的域名即可进入密码重置界面。

webshell交易(webshell检测) 第4张

webshell交易(webshell检测) 第5张

webshell交易(webshell检测) 第6张

啊......直接访问脚本更改admin的管理员帐户的密码,而无需输入旧密码。然后询问网站负责人,得知他前期忘记了密码,用这个密码重置脚本修改了密码。至于修改后他是否删除了剧本,他没有印象。

这里,思路更清晰了。我们知道第一页被篡改的时间是6月28日19:08,config.php最早上传的后门文件是6月27日16:24。根据这个时间点,对6月24日至6月30日的网络日志进行了筛选分析,发现radminpass.php的流量早在24日就被访问过。但是27号8:21只有一个1.206.x.x的IP访问GET请求,后面还有三步POST数据提交,和之前的加密三部曲很像,所以这个IP是最有嫌疑的攻击者,也是最接近网页被修改的时间。

webshell交易(webshell检测) 第7张

根据疑似IP1.206.x.x的进一步筛选日志分析,可以看到所有更改IP的操作行为。首先使用密码重置脚本修改密码,然后立即访问/tmcmspc56/login.php的后台界面进行登录。接下来的/tmcmspc56/index.php表明登录已经成功。

webshell交易(webshell检测) 第8张

第四,后门分析

知道网站上最早的后门文件是config.php,我们还筛选了流量日志,看看它是如何在config.php上传的。可以看到,攻击者首先访问了file_manage_view.php,然后访问了POST数据,生成了config.php文件。

webshell交易(webshell检测) 第9张

回到网站文件目录,并检查文件_管理_ view.php。好家伙,这是一个管理后台的文件管理编辑器。攻击者直接在后台添加一个后门文件,生成一个大的。

webshell交易(webshell检测) 第10张

webshell交易(webshell检测) 第11张

我们来看看其他后门文件是怎么上传的。按照时间顺序搜索buak.php后门文件显示,它们是通过config.php上传的。

webshell交易(webshell检测) 第12张

继续搜索lower.php后门文件,是app.php文件上传的,但是D盾没有扫描出流量日志记录的路径下的文件,文件不存在,应该已经被删除了。

webshell交易(webshell检测) 第13张

webshell交易(webshell检测) 第14张

app.php是怎么上传的,上传的是哪个IP?屏蔽app.php显示,它是由buak.php上传的。

webshell交易(webshell检测) 第15张

只剩下两个后门文件,pig.php和need.php。经过一轮筛选,need.php被app.php上传文件,而pig.php借壳文件没有被筛选掉。只有一种可能,攻击者在上传后将原始后门文件重命名为pig.php。

webshell交易(webshell检测) 第16张

webshell交易(webshell检测) 第17张

动词 (verb的缩写)摘要

IP为1.206.x.x的攻击者于27日8:21首次发现radminpass.php的密码重置脚本,8:22修改admin账号密码登录后台,8:24访问后台file_manage_view.php文件管理编辑器,上传config.php的后门文件。然后通过config.php的后门文件上传到buak.php的后门,再由buak.php上传到app.php(现已删除),再由app.php生成need.php的后门文件(iis日志需要加8个时间段对应正确的发生时间)。细心的朋友发现,每生成一个新的后门,连接的IP就会发生变化。其实道理很简单。你可以大胆猜测这是一个webshell业务,一个卖另一个。

综合以上分析,此次事件的关键点在于运维管理人员的粗心导致了攻击者可乘之机。

webshell交易(webshell检测) 第18张

本文由admin于2022-11-13发表在联创号,如有疑问,请联系我们。
本文链接:https://www.lian-bj.com/post/33506.html
0

相关文章

最新文章

推荐文章