我趁老师睡觉摸她奶脱她内裤,特级毛片a片久久久久久

SeriousCool

稍有積蓄

論壇徽章:: 1

電梯直達(dá)

1樓 [收藏(0)] [報(bào)告]

發(fā)表于 2014-07-29 00:04 |只看該作者 |倒序?yàn)g覽

晚上11點(diǎn)多，落伍一個(gè)做主機(jī)業(yè)務(wù)的朋友，聯(lián)系到我說(shuō)，他一客戶的網(wǎng)站，被掛彈窗，彈的是一成*人用品的網(wǎng)站。

網(wǎng)站大概情況，Linode東京高配的VPS，CentOS系統(tǒng)，LNMP環(huán)境，跑的Discuz X 2.5，訪問(wèn)量不小。

開(kāi)始先用下面這樣的命令查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函數(shù)都查了一遍，并沒(méi)有發(fā)現(xiàn)可疑文件。

但是朋友告之，網(wǎng)站最近二天都被改動(dòng)過(guò)，不定時(shí)出現(xiàn)彈窗，然后過(guò)不久又消失。
以此判斷，作惡的人一定會(huì)訪問(wèn)到webshell，通過(guò)webshell修改網(wǎng)站上的文件。
萬(wàn)幸，服務(wù)器上保留了大概三天的Nginx日志。

把日志文件整理了下，執(zhí)行下面的命令
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
結(jié)果如下圖：

這個(gè)命令的作用是把日志里被POST方式請(qǐng)求的文件全部列出來(lái)。
從webshell流行起來(lái)開(kāi)始，幾乎所有的webshell都以POST方式來(lái)提交操作請(qǐng)求，目的就是把參數(shù)在日志里隱藏掉，因?yàn)橥ǔＨ罩静⒉粫?huì)記錄POST參數(shù)。
但是物極必反，這一思路形成主流后反而給檢查提供了方便。

上面列出的這些文件幾乎都檢查了一遍，多余的就不多說(shuō)了，最后問(wèn)題確定在/source/archiver/common/footer.php這個(gè)文件上，文件內(nèi)容如下圖：

這個(gè)include一下就暴露了。

先到日志里查一下請(qǐng)求這個(gè)文件用的GET參數(shù)，如下圖：

順勢(shì)找到/uc_server/data/tmp/upload753178.jpg這個(gè)文件。
打開(kāi)后，在最后發(fā)現(xiàn)：

到這里，一切豁然開(kāi)朗，這是菜刀的后門(mén)。

后記：
從日志來(lái)看，三四天以來(lái)差不多每天會(huì)有一次動(dòng)作，而每次用完菜刀，會(huì)到百度去搜索某一個(gè)關(guān)鍵詞，而排第一的正是這個(gè)網(wǎng)站，然后再通過(guò)百度鏈接來(lái)訪問(wèn)網(wǎng)站�？梢钥闯�，作惡者的目的是想劫持網(wǎng)站的百度等搜索引擎流量，這樣搞一通下來(lái)，正是在做測(cè)試。但是劫持代碼有問(wèn)題，因?yàn)槊看纬鰪棿暗臅r(shí)候，直接打開(kāi)網(wǎng)站也會(huì)彈，也正是因?yàn)檫@樣，每次出現(xiàn)彈窗不久就又被作惡者去除。最后的結(jié)論是，1）木馬很久前就已經(jīng)上傳，但是日志已經(jīng)不在，無(wú)法確定是怎么傳上來(lái)的；2）現(xiàn)在搞彈窗的人并不是傳馬的人，很有可能是買(mǎi)來(lái)的。

原創(chuàng)文章，轉(zhuǎn)載請(qǐng)以超鏈接注明出處。
http://www.server110.com/linux_sec/201407/10788.html