场景说明
某天运维人员,发现运维的公司站点被黑页,首页标题被篡改,你获得的信息如下:
操作系统:windows server 2008 R2
业务:公司官网
网站架构:通过phpstudy运行apache +mysql+php
开放端口:仅对外网开饭80端口
站点路径:C:\phpStudy\PHPTutorial\WWW
排查过程
找到篡改网页,发现最新的篡改时间为
2020-5-13-18:34:16,并且在网站根目录,讲源码拖到本地,通过D盾扫描
我这里使用的网络共享来发送的,用啥都可以,只要传到有D盾的windows机上即可
扫描出来了两个可疑文件,我们去看内容和属性
info.php的创建时间是2019年,而shell.php的创建时间是2020年,我们可以推断出,info.php是一个php自带的探针,而shell.php通过创建时间和内容可以看出是一个木马
shell.php的写入时间是2020-05-13-18:32:36,内容来看是一个冰蝎马
我们可以通过shell.php来看日志文件,看access.log日志
我们来搜索shell.php同时间段的日志,看是不是这个时间被攻击的
从结果来看,确实有一个shell.php,但是所在的目录是在/shell.php,并不是在html/shell.php,而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的,而是在此之前就先上传了shell.php到/shell.php下,然后又通过手段放到html/shell.php中的
同时我们可以确定攻击者的ip地址是10.11.33.208
10.11.33.208
根据ip地址,来网上找攻击者的入侵方式和网站漏洞
从这个2020-05-13-18:30:23这个时间开始,我们发现往下很多的HEAD请求,并且都是404,而且每一秒都有很多很多请求,判断为攻击者在进行目录扫描
由上图可以直到扫描结束时间是2020-5-13-18:30:49,然后访问了三次info.php,之后就是shell.php了,看起来info.php应该是存在问题,可能有漏洞,我们去看info.php,在网站中
通过如上信息,我们可以去找哪个地方存在漏洞,首先审核phpstudy的版本是否存在漏洞,版本是2017,其次审核服务器引擎apache的版本是否存在漏洞,php是否存在漏洞,数据是否存在漏洞,大概就是看着一些东西,然后我们去百度发现phpstudy某个版本是有漏洞的
看起来不影响我们这个版本,我们试一下,我们这个版本也有被搞了木马,我们继续试
使用bp抓包,然后修改
Accept-Encoding:gzip,deflate
Accept-charset:cGhwaW5mbygpOw==
这里不知道为啥,使用bp抓包复现不出来,然后使用phpshellcmd测试工具来复现出来了
从这里可以确定是phpstudy后门入侵
继续查看日志,我们发现在18:32:36通过第一次上传的shell.php写入了/html/shell.php文件
我们继续看日志,找出来使用的哪个木马进行修改的index..php文件
首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件
后续继续排查了系统启动项,系统日志,发现无其他异常信息
结论
根据目前信息,可以得到如下结论
攻击者ip地址:10.11.33.208
1.2020-5-13-18:30:23对站点进行了扫描,发现了info.php存在,然后访问了info.php发现使用的是PHP/5.4.45,
3.2020-5-13-18:31:14通过phpstudy后门漏洞来进行命令执行,然后写入了shell.php的木马,在根目录
4.2020-5-13-18:30:36利用shell.php在html下写入了冰蝎马
5.2020-5-13-18:34:16利用该webshell,篡改了站点首页