接到个单子,网站被挂博彩
客户机器环境
-
服务器系统:CentOS 7
-
服务器管理面板:宝塔
-
CMS:织梦 CMS V57 SP2
排查过程
过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐号非客户所添加
网络检查
随后执行了netstat -anutlp对当前连接进行了检查,无异常且初步判定没有被留远控
SSH检查
对SSH配置文件、SSH应用程序进行了检查, SSH程序正常
SSH配置文件发现被设置了 ssh key
文件检测&日志分析
文件检测
由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell
shell 路径
/m.xxx.com/anli/list_2.php/m.xxx.com/data/enums/bodytypes.php/m.xxx.com/data/module/moduleurllist.php/m.xxx.com/images/js/ui.core.php/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php/m.xxx.com/install/config.cache.inc.php/m.xxx.com/member/ajax_loginsta.php/m.xxx.com/plus/arcmulti.php/m.xxx.com/plus/img/face/list_2_2.php/m.xxx.com/templets/default/style/touchslide.1.1.php/m.xxx.com/tuiguang/18.html.php/www.xxx.com/anli/list_1.php/www.xxx.com/images/lurd/button_save.php/www.xxx.com/include/dialog/img/picviewnone.php/www.xxx.com/include/inc/funstring.php/www.xxx.com/jianzhan/list_3.php/www.xxx.com/jinfuzi-seo/css/menuold.php/www.xxx.com/plus/img/channellist.php/www.xxx.com/templets/default/images/banner_03.php/www.xxx.com/tuiguang/2018/1205/19.php
其中一个 shell
日志分析
使用Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图
寻找第一次访问shell的IP
最终发现
IP:117.95.26.92为首次使用网站后门上传其他shell的IP,由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析确认为模板后门
处置与意见
-
网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件
-
服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改
-
数据库检查中发现http://www.xxx.com存在一个疑似后门的账户,用户名 admin. 密码admin1.2.3
-
被篡改的首页已经恢复
附:IOC
23.27.103.19823.27.103.21923.27.117.17923.27.117.18723.27.117.19023.27.126.15450.117.40.7850.117.40.8150.117.40.8569.46.80.17669.46.80.186113.121.166.74117.90.0.28117.91.209.137117.95.26.92121.40.20.81173.245.77.205205.164.1.197205.164.1.199205.164.1.207205.164.1.208205.164.1.210205.164.26.66205.164.26.81205.164.26.94216.172.155.132216.172.155.148216.172.155.155
原文始发于微信公众号(七芒星实验室):【经典好文】Linux应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论