Web入侵实战分析-常见web攻击类应急处置实验2

场景说明

某天运维人员,发现运维的公司站点被黑页,首页标题被篡改,你获得的信息如下:

复制代码
操作系统:windows server 2008 R2

业务:公司官网

网站架构:通过phpstudy运行apache +mysql+php

开放端口:仅对外网开饭80端口

站点路径:C:\phpStudy\PHPTutorial\WWW

排查过程

找到篡改网页,发现最新的篡改时间为

2020-5-13-18:34:16,并且在网站根目录,讲源码拖到本地,通过D盾扫描

我这里使用的网络共享来发送的,用啥都可以,只要传到有D盾的windows机上即可

扫描出来了两个可疑文件,我们去看内容和属性

info.php的创建时间是2019年,而shell.php的创建时间是2020年,我们可以推断出,info.php是一个php自带的探针,而shell.php通过创建时间和内容可以看出是一个木马

shell.php的写入时间是2020-05-13-18:32:36,内容来看是一个冰蝎马

我们可以通过shell.php来看日志文件,看access.log日志

我们来搜索shell.php同时间段的日志,看是不是这个时间被攻击的

从结果来看,确实有一个shell.php,但是所在的目录是在/shell.php,并不是在html/shell.php,而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的,而是在此之前就先上传了shell.php到/shell.php下,然后又通过手段放到html/shell.php中的

同时我们可以确定攻击者的ip地址是10.11.33.208

复制代码
10.11.33.208

根据ip地址,来网上找攻击者的入侵方式和网站漏洞

从这个2020-05-13-18:30:23这个时间开始,我们发现往下很多的HEAD请求,并且都是404,而且每一秒都有很多很多请求,判断为攻击者在进行目录扫描

由上图可以直到扫描结束时间是2020-5-13-18:30:49,然后访问了三次info.php,之后就是shell.php了,看起来info.php应该是存在问题,可能有漏洞,我们去看info.php,在网站中

通过如上信息,我们可以去找哪个地方存在漏洞,首先审核phpstudy的版本是否存在漏洞,版本是2017,其次审核服务器引擎apache的版本是否存在漏洞,php是否存在漏洞,数据是否存在漏洞,大概就是看着一些东西,然后我们去百度发现phpstudy某个版本是有漏洞的

看起来不影响我们这个版本,我们试一下,我们这个版本也有被搞了木马,我们继续试

使用bp抓包,然后修改

复制代码
Accept-Encoding:gzip,deflate
Accept-charset:cGhwaW5mbygpOw==

这里不知道为啥,使用bp抓包复现不出来,然后使用phpshellcmd测试工具来复现出来了

从这里可以确定是phpstudy后门入侵

继续查看日志,我们发现在18:32:36通过第一次上传的shell.php写入了/html/shell.php文件

我们继续看日志,找出来使用的哪个木马进行修改的index..php文件

首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件

后续继续排查了系统启动项,系统日志,发现无其他异常信息

结论

复制代码
根据目前信息,可以得到如下结论
攻击者ip地址:10.11.33.208
1.2020-5-13-18:30:23对站点进行了扫描,发现了info.php存在,然后访问了info.php发现使用的是PHP/5.4.45,
3.2020-5-13-18:31:14通过phpstudy后门漏洞来进行命令执行,然后写入了shell.php的木马,在根目录
4.2020-5-13-18:30:36利用shell.php在html下写入了冰蝎马
5.2020-5-13-18:34:16利用该webshell,篡改了站点首页
相关推荐
潘yi.4 小时前
web技术与nginx网站环境部署
服务器·网络·nginx
安顾里5 小时前
Linux命令-iostat
linux·运维·服务器
whoarethenext5 小时前
初始https附带c/c++源码使用curl库调用
服务器·c++·qt·https·curl
100编程朱老师5 小时前
面试:什么叫Linux多路复用 ?
linux·运维·服务器
群联云防护小杜5 小时前
云服务器主动防御策略与自动化防护(下)
运维·服务器·分布式·安全·自动化·音视频
PPIO派欧云5 小时前
PPIO X OWL:一键开启任务自动化的高效革命
运维·人工智能·自动化·github·api·教程·ppio派欧云
Jtti5 小时前
Jtti:nginx服务器如何限制访问频率
服务器·网络·nginx
视觉&物联智能6 小时前
【杂谈】-人工智能驱动的网络安全威胁:新一代网络钓鱼
网络·人工智能·web安全·网络安全·安全威胁分析
struggle20256 小时前
LinuxAgent开源程序是一款智能运维助手,通过接入 DeepSeek API 实现对 Linux 终端的自然语言控制,帮助用户更高效地进行系统运维工作
linux·运维·服务器·人工智能·自动化·deepseek
博睿谷IT99_6 小时前
网络安全怎么入门?快速了解
安全·web安全