文章来源:Sp4ce's Blog
文章作者:Sp4ce
事件:网站被挂博彩
应急机器环境:
服务器系统:CentOS 7
服务器管理面板:宝塔
CMS:织梦 CMS V57 SP2
过程
向现场了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了 admin
,用户组为 admin
,向现场确认后执行,帐号非管理员所添加。
网络检查
随后执行了 netstat -anutlp
对当前连接进行了检查,无异常,初步判定没有被留远控
SSH 检查
对 SSH配置文件
、SSH应用程序
进行了检查,
SSH
程序正常
SSH配置文件
发现被设置了 ssh key
文件检测 & 日志分析
文件检测
由于客户机器上运行着 4 个站点,所以 down
了相关网站文件和日志,网站文件使用 D 盾进行了扫描,发现其中 2 个织梦CMS
站点都被传了 Shell
shell 路径
其中一个 shell
日志分析
使用 Apache Log Viewer
对日志进行分析,设置了 shell
文件正则后如下图
寻找第一次访问 shell 的 IP
最终发现
IP:117.95.26.92
为首次使用网站后门
上传其他 shell
的 IP
由于应急的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析,确认为模板后门。
处置与意见
1、网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件。
2、服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到 root 用户痕迹,怀疑服务器密码已经泄漏,已建议客户修改。
3、数据库检查中发现 http://www.xxx.com 存在一个疑似后门的账户,用户名 admin. 密码 admin1.2.3.
4、被篡改的首页已经恢复。
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650523493&idx=2&sn=4b6ad4c32904880a78a2df523991b643&chksm=83baa281b4cd2b9702f3a226828b5a9aac46fba8055dc8e955cd6e292658be75ebc9af9ad25b#rd
如有侵权请联系:admin#unsafe.sh