某客户网站被入侵后的反黑过程

360网站管家

最初客户反映网站被黑客入侵后做了“搜索引擎劫持”，将流量导向了菠菜站。
于是拿出自写的webshell检查工具，查到了这二个文件。





但是入侵被没有结束，后来发现网站又被改动，然后查看日志，发现的内容如下。



可以看到，黑客发现forum.php被删除，返回404之后，用GET方式测试了下class_clouds.php是否存在，返回200后，开始用POST操作这个后门。
由于没有把preg_replace添加到检查函数列表，导致class_clouds.php成了漏网之鱼。

在黑客发现class_clouds.php又被删除后，登录成功了uc_server，如下图



关于密码，有二种可能性，一是社工，二是之前通过webshell得到了MD5，解出了密码。

通过uc_server，黑客得到了uc.bak.php。有可能是利用了0day漏洞。



在第一次清除webshell之后，已经对网站做了写入和执行权限的互斥设置，但是由于疏忽，没有取消网站根目录本身的写入权限（自我检讨下），导致在根目录下生成了webshell，一般情况下webshell都会生成在隐蔽目录，生成在根目录是黑客迫于无奈，因为其他目录要么没有写权限，要么没有执行权限。

针对上面发现的所有情况都做了妥善处理，最终黑客终于止步于此。



可以看到，黑客尝试访问uc_server/admin.php，但是文件已经改名。然后访问了一次首页，闪人。

在最后审查日志后发现，黑客在几天的时间内，共计用了不同国家的十几个代理IP
94.242.246.23                卢森堡
217.12.204.104        乌克兰
81.89.96.88                德国
188.138.9.49                德国
171.25.193.20                瑞典
194.150.168.95                德国
46.165.250.235                德国
77.247.181.162                荷兰
82.94.251.227                        荷兰
176.10.100.229                        瑞士
62.236.108.73                        芬兰
37.221.162.226                罗马尼亚
122.233.180.9                中国
59.174.44.104                中国
176.10.100.229                瑞士
178.217.187.39                波兰
在黑客的攻击请求当中，过程清晰明了，多余拖沓的步骤非常少，应该是使用了高度自动化的工具实施的，十分追求效率，操作结束就闪人，从不闲逛。

并且根据上面的IP发现了这样的一条请求
"GET / HTTP/1.1" 301 5 "http://xinyunbbs2.anquan.us//core/[email protected]?s=zhizhu"
后面的URL应该是黑客所使用的“管理系统”，在这个管理系统中点击链接进入的客户网站。

百度了下发现这个域名有和菠菜相关的内容



在过去几年中处理过大量的入侵事件，但是如此执着和高效率的入侵手法在中小型网站中并不多见，以至于在最初有些轻敌。

两篇本文相关文章：
webshell的查杀思路 http://www.server110.com/web_sec/201408/10902.html
web日志中查找webshell的方式 http://www.server110.com/linux_sec/201407/10788.html

在本次事件中总结的几点安全建议：
WEB日志十分必要，在硬盘空间允许的情况下尽可能多的保留日志。
每个地方使用不同的并且随机生成的密码。
关注网站程序的漏洞并及时更新补丁。
网站不要使用数据库的root用户，每个网站用单独的用户。
写入和执行权限互斥十分必要。
PHP务必禁用执行命令的函数并且设置好open_basedir。
最后是重中之重，网站数据一定要做好备份！