全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
昨天环球企业家网站发现被入侵,主站被攻击者上传 webshell,并植入恶意代码。进一步分下发现,黑客上传了大量漏洞利用程序试图提权,但是未成功。后来跟站长沟通,确定是之前它的配置问题导致注册会员可以上传 php 文件,目前已经修改此问题。因为攻击者未获得 root 权限,所以未造成更严重的后果。通过查看日志以及对应文件创建时间,锁定恶意文件位置。首先是一个貌似 dedecms 程序的后门,分析其代码发现,这其实是个一句话木马,代码如下:黑客将一句话木马拆分成了几部分,丢入 show.php 中,并将其余代码全部注释掉,让其不容别被发现。利用这段代码,可以执行任意命令。同时,这里还发现黑客在程序中植入了一段很智能的 php 代码,分析发现其主要用来给几个赌博网站刷流量,代码主要部分如图所示 代码伪装的很隐蔽,首先会判断是不是扫描器 IP,如果是扫描器则返回正常页面。如果请求参数是 action=ad,则会直接跳到一个赌博网站 /js/p2.html 如图所示同时还会判断 referer,如果是从搜索引擎里点击过去的,则会跳转到/js/c2.txt 执行这段 javascript 程序这段 js 代码是模拟浏览器,发送了一个 action=ad 请求,最终还是跳转到上面那个赌博网站。然后我们继续分析,下面是一段更加智能的程序。if (isspider() &!isindex()这个 if 会判断是否为爬虫,并且爬取的是否为主页。如果判断为爬虫但是爬去的是主页,则直接退出,这是为了防止搜索引擎快照中出现不和谐的内容而被发现。如果是判断为爬虫并且非主页的话,则访问另一个赌博网站,而且这里程序写的非常复杂,很容易绕过一些检测工具。跳转后的页面如图所示另外,在系统/tmp 目录下,发现大量提权脚本,如图查看 1.pl 代码,这其实是一个反弹的后门还有一个 root2013.pl,这其实一个 downloader 程序,自动下载各种提权程序执行,但是幸好系统不存在这些可利用的漏洞,攻击者未提权成功。此
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2022年信阳市教育体育局直属学校招聘考试试卷及答案解析
- 2022年清远阳山县公安局招聘警务辅助人员考试试卷及答案解析
- 2022年辽宁沈阳中德控股集团有限公司选聘考试试卷及答案解析
- 2023年宁波市公安局交通警察局招聘警务辅助人员考试真题及答案
- 2023年佳木斯市桦川县教育系统高校现场招聘教师考试真题及答案
- 2022年白山抚松县稳边固边公益性岗位招聘考试试卷及答案解析
- 医务人员临床科研需求调查表
- 面向对象方法学概述
- 脂肪酸的分解代谢
- 脑电图基础知识幻灯片
- 硅橡胶制品生产工艺流程课件
- 恒大集团债务危机案例研究
- 2023医疗大数据白皮书
- 2023年北京重点校初一(下)期中数学汇编:平面直角坐标系章节综合
- 中医护理技术之耳针法课件
- 人教版《生物与生物圈》 单元作业设计
- GB/T 43050-2023血液透析和相关治疗用液体的制备和质量管理通用要求
- 外墙装饰工程干挂埃特板施工工法
- 内科(VIP)病区品管圈成果汇报提高住院患者辅助检查的按计划执行率
- 生物信息红外肝病治疗仪临床应用
- 树立共产主义远大理想课件
评论
0/150
提交评论