一.基本情況

[[319287]]

偶然發(fā)現(xiàn)一臺web服務(wù)器很怪異，其網(wǎng)站頁面上增加了一堆外文的頁面鏈接，點(diǎn)擊一篇進(jìn)去之后，內(nèi)容如下圖所示：

該網(wǎng)站是中文網(wǎng)站，絕不可能存在上述的頁面內(nèi)容，同時(shí)頁面中嵌入一堆的JS代碼。很明顯，該網(wǎng)站已經(jīng)被黑，為避免遭受進(jìn)一步的危害，緊急采取措施讓服務(wù)器下線。由于該臺服務(wù)器部署于單位異地遠(yuǎn)程機(jī)房，下線后無法直接對服務(wù)器進(jìn)行分析，只是采取遠(yuǎn)程協(xié)同分析日志文件的方式(拿到一些web日志文件，以及一些異常PHP文檔)，因此無法實(shí)施深入分析。

服務(wù)器是windows系統(tǒng)，使用Apache作為web服務(wù)器，網(wǎng)站基于PHP+WordPress開發(fā)。服務(wù)器基本情況：

二.頁面簡單分析

上圖中的JS代碼如下表所示：

經(jīng)過簡單分析，很明顯上表中的這段代碼應(yīng)該是攻擊者的XSS跨站漏洞利用代碼，主要用于獲取訪問該頁面的用戶的cookie信息，根據(jù)函數(shù)名稱getCookie也很容易得知其功能。

上述代碼中base64加密部分解密后后內(nèi)容如下：

可知，攻擊者XSS服務(wù)器為193.238.46.57，地址查詢?nèi)缦聢D所示，目前該頁面無法訪問。

三.日志分析

1、access.log日志

分析該日志，發(fā)現(xiàn)了密碼暴力猜解記錄、漏洞攻擊歷史記錄、wordpress登陸操作、網(wǎng)頁爬蟲等記錄。

a) 大量暴力破解或DDOS攻擊報(bào)文

通過查看日志發(fā)現(xiàn)，每天有大量的IP訪問wordpress網(wǎng)站xmlrpc.php文件。利用POST方式提交發(fā)送數(shù)據(jù)，由于日志中無法看到POST數(shù)據(jù)報(bào)文內(nèi)容，猜測應(yīng)該是用于暴力密碼窮舉;wordpress管理登陸接口做了防暴力破解防護(hù)，利用xmlrpc.php接口可以繞過上述登陸限制，可以通過post數(shù)據(jù)到xmlrpc.php進(jìn)行密碼破解嘗試，該行為也導(dǎo)致服務(wù)器資源損耗嚴(yán)重。

b) 大量漏洞攻擊記錄

日志中同樣發(fā)現(xiàn)大量的漏洞攻擊記錄，尤其是對ThinkPHP5遠(yuǎn)程代碼執(zhí)行漏洞的利用嘗試，說明惡意網(wǎng)絡(luò)攻擊行為很頻繁。下表是服務(wù)器一天中遭受漏洞攻擊的情況：

提取惡意URL列表如下：

c) Wordpress登陸操作

從access.log 中發(fā)現(xiàn)了一些Wordpress后臺管理成功登陸的操作，說明Wordpress的賬戶密碼已失陷，根據(jù)時(shí)間和登陸IP判斷不屬于管理員。同時(shí)這些操作重復(fù)次數(shù)多，且發(fā)生操作的IP也不定，因此懷疑本臺服務(wù)器的攻擊者不止一個，可能是遭受多個自動化的網(wǎng)絡(luò)攻擊行動所致。

d) 網(wǎng)頁爬蟲記錄

分析一天的日志文件，從中發(fā)現(xiàn)了如下的爬蟲信息，如下表所示，其中SEMrushBot和頭條爬蟲在這一天中最為活躍。

對于網(wǎng)站運(yùn)營者來說，發(fā)現(xiàn)網(wǎng)站被黑后采取措施對被黑服務(wù)器系統(tǒng)進(jìn)行清理。但是其實(shí)由于“搜索引擎爬蟲”的不辭辛勞的賣力干活，其實(shí)網(wǎng)站被黑的頁面已被爬取并留存證據(jù)。

2、error.log日志

查看error.log發(fā)現(xiàn)了一些問題，比如大批量的錯誤提示在一堆怪異英文名字命名的PHP文件中“找不到“check_is_bot.php”文件，最早出現(xiàn)的提示是2018年1月20日，說明服務(wù)器早在2年前就已經(jīng)被黑，如下表：

于是，跑到C:\phpStudy\WWW\wordpress2\wp-content\plugins\anything-order-by-terms\modules\，發(fā)現(xiàn)目錄下確實(shí)多了一堆怪異英文名字的PHP文件。

anything-order-by-terms是一個wordpress插件，通過該插件，可以在管理屏幕上的內(nèi)置列表中輕松拖放來安排任何帖子類型和術(shù)語。(使用者已不知道是否自己安裝)

改名下總共有430多個PHP文件以及幾十個php.suspected文件，一些php文件名列表如下圖所示：

同時(shí)，發(fā)現(xiàn)這些文件的生成時(shí)間是：2018年1月12日15：29分鐘。

于是到往前追溯，發(fā)現(xiàn)1月12日13：33有異常的錯誤日志，關(guān)聯(lián)到404.php

此外，在這些目錄下面，確實(shí)發(fā)現(xiàn)check_is_bot.php相關(guān)的文件：check_is_bot.php.suspected，同時(shí)在目錄下也發(fā)現(xiàn)了其他的一堆以php.suspected結(jié)尾的文件，如下圖所示，判斷應(yīng)該是被殺毒軟件重命名了。

check_is_bot.php的文件內(nèi)容如下：

解碼后的PHP代碼如下圖所示：

打開任意一個怪異英文名php文件，發(fā)現(xiàn)其實(shí)是一個html頁面，其中每個頁面首部都添加了一段PHP代碼，用于包含check_is_bot.php，并且執(zhí)行一段js代碼。如下表所示：

jscs.min.js的內(nèi)容查看如下：

簡單分析代碼，先對M5s字符串進(jìn)行處理，處理的代碼如下，即每隔2個字節(jié)經(jīng)過parseInt轉(zhuǎn)換，再轉(zhuǎn)換成字符串，接著調(diào)用setTimeout執(zhí)行。

四.小結(jié)

本次分析只是簡單記錄服務(wù)器被黑的情況，由于網(wǎng)站本身對外提供服務(wù)功能有限，日常訪問使用人數(shù)不多，導(dǎo)致運(yùn)營者基本沒有維護(hù)管理，從幾年都沒有發(fā)現(xiàn)問題可以看出。相信這種情況，很多單位都存在，有些小網(wǎng)站系統(tǒng)由于一時(shí)的業(yè)務(wù)需要，利用開源框架架設(shè)完畢后，功能能用就放著不管了，后續(xù)不會投入資源進(jìn)行更新、維護(hù)和管理，甚至都不記得有這個網(wǎng)站系統(tǒng)。隨著網(wǎng)絡(luò)安全監(jiān)督力度加大，這些容易被忽視的網(wǎng)站很容易出現(xiàn)違法違規(guī)情況，如果遭受網(wǎng)絡(luò)攻擊后造成不良影響，可能影響企業(yè)的正常經(jīng)營活動，建議必須投入資源關(guān)注：

1、匯總摸清單位所有對外服務(wù)器的情況;

2、明確各個服務(wù)器使用和管理責(zé)任部門和人員;

3、實(shí)施網(wǎng)站日常巡查制度;

4、勤更新升級補(bǔ)丁;

5、限制網(wǎng)站后臺管理;

6、定期實(shí)施網(wǎng)絡(luò)安全評估;

7、投入資源建設(shè)、升級網(wǎng)站安全防護(hù)軟硬件系統(tǒng)。