实际操作:网站木马后面排查

晚上11点多,有一个做主机业务的朋友,联系到我说,他一客户的网站,被挂弹窗,弹的是一成*人用品的网站。

网站大概情况,Linode东京高配的VPS,CentOS系统,LNMP环境,跑的Discuz X 2.5,访问量不小。

开始先用下面这样的命令查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函数都查了一遍,并没有发现可疑文件。

但是朋友告之,网站最近二天都被改动过,不定时出现弹窗,然后过不久又消失。
以此判断,作恶的人一定会访问到webshell,通过webshell修改网站上的文件 。
万幸,服务器上保留了大概三天的Nginx日志。

把日志文件整理了下,执行下面的命令
cat *.log|grep "POST"|grep 200  | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
结果如下图:
bb
这个命令的作用是把日志里被POST方式请求的文件全部列出来。
从webshell流行起来开始,几乎所有的webshell都以POST方式来提交操作请求,目的就是把参数在日志里隐藏掉,因为通常日志并不会记录POST参数。
但是物极必反,这一思路形成主流后反而给检查提供了方便。

上面列出的这些文件几乎都检查了一遍,多余的就不多说了,最后问题确定在/source/archiver/common/footer.php这个文件上,文件内容如下图:
bb
这个include一下就暴露了。

先到日志里查一下请求这个文件用的GET参数,如下图:
bb

顺势找到/uc_server/data/tmp/upload753178.jpg这个文件 。
打开后,在最后发现:
bb
到这里,一切豁然开朗,这是菜刀的后门。

后记:
从日志来看,三四天以来差不多每天会有一次动作,而每次用完菜刀,会到百度去搜索某一个关键词,而排第一的正是这个网站,然后再通过百度链接来访问网站。可以看出,作恶者的目的是想劫持网站的百度等搜索引擎流量 ,这样搞一通下来,正是在做测试。但是劫持代码有问题,因为每次出弹窗的时候,直接打开网站也会弹,也正是因为这样,每次出现弹窗不久就又被作恶者去除。最后的结论是,1)木马很久前就已经上传,但是日志已经不在,无法确定是怎么传上来的;2)现在搞弹窗的人并不是传马的人,很有可能是买来的。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/29443697/viewspace-1242340/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/29443697/viewspace-1242340/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值