企业做网站要注意些什么,网页设计与网站建设完全教程,wordpress 改系统,wordpress需要的php版本场景说明
某天运维人员#xff0c;发现运维的公司站点被黑页#xff0c;首页标题被篡改#xff0c;你获得的信息如下#xff1a;
操作系统#xff1a;windows server 2008 R2业务#xff1a;公司官网网站架构#xff1a;通过phpstudy运行apache mysqlphp开放端口…场景说明
某天运维人员发现运维的公司站点被黑页首页标题被篡改你获得的信息如下
操作系统windows server 2008 R2业务公司官网网站架构通过phpstudy运行apache mysqlphp开放端口仅对外网开饭80端口站点路径C:\phpStudy\PHPTutorial\WWW
排查过程
找到篡改网页发现最新的篡改时间为 2020-5-13-18:34:16并且在网站根目录讲源码拖到本地通过D盾扫描
我这里使用的网络共享来发送的用啥都可以只要传到有D盾的windows机上即可 扫描出来了两个可疑文件我们去看内容和属性
info.php的创建时间是2019年而shell.php的创建时间是2020年我们可以推断出info.php是一个php自带的探针而shell.php通过创建时间和内容可以看出是一个木马 shell.php的写入时间是2020-05-13-18:32:36内容来看是一个冰蝎马
我们可以通过shell.php来看日志文件看access.log日志
我们来搜索shell.php同时间段的日志看是不是这个时间被攻击的 从结果来看确实有一个shell.php但是所在的目录是在/shell.php并不是在html/shell.php而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的而是在此之前就先上传了shell.php到/shell.php下然后又通过手段放到html/shell.php中的
同时我们可以确定攻击者的ip地址是10.11.33.208
10.11.33.208
根据ip地址来网上找攻击者的入侵方式和网站漏洞
从这个2020-05-13-18:30:23这个时间开始我们发现往下很多的HEAD请求并且都是404而且每一秒都有很多很多请求判断为攻击者在进行目录扫描 由上图可以直到扫描结束时间是2020-5-13-18:30:49然后访问了三次info.php之后就是shell.php了看起来info.php应该是存在问题可能有漏洞我们去看info.php在网站中 通过如上信息我们可以去找哪个地方存在漏洞首先审核phpstudy的版本是否存在漏洞版本是2017其次审核服务器引擎apache的版本是否存在漏洞php是否存在漏洞数据是否存在漏洞大概就是看着一些东西然后我们去百度发现phpstudy某个版本是有漏洞的
看起来不影响我们这个版本我们试一下我们这个版本也有被搞了木马我们继续试
使用bp抓包然后修改
Accept-Encodinggzip,deflate
Accept-charsetcGhwaW5mbygpOw
这里不知道为啥使用bp抓包复现不出来然后使用phpshellcmd测试工具来复现出来了 从这里可以确定是phpstudy后门入侵
继续查看日志我们发现在18:32:36通过第一次上传的shell.php写入了/html/shell.php文件 我们继续看日志找出来使用的哪个木马进行修改的index..php文件
首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件 后续继续排查了系统启动项系统日志发现无其他异常信息
结论
根据目前信息可以得到如下结论
攻击者ip地址:10.11.33.208
1.2020-5-13-18:30:23对站点进行了扫描发现了info.php存在然后访问了info.php发现使用的是PHP/5.4.45,
3.2020-5-13-18:31:14通过phpstudy后门漏洞来进行命令执行然后写入了shell.php的木马,在根目录
4.2020-5-13-18:30:36利用shell.php在html下写入了冰蝎马
5.2020-5-13-18:34:16利用该webshell篡改了站点首页
