环球企业家入侵事件分析处理_第1页
环球企业家入侵事件分析处理_第2页
环球企业家入侵事件分析处理_第3页
环球企业家入侵事件分析处理_第4页
环球企业家入侵事件分析处理_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

昨天环球企业家网站发现被入侵,主站被攻击者上传 webshell,并植入恶意代码。进一步分下发现,黑客上传了大量漏洞利用程序试图提权,但是未成功。后来跟站长沟通,确定是之前它的配置问题导致注册会员可以上传 php 文件,目前已经修改此问题。因为攻击者未获得 root 权限,所以未造成更严重的后果。通过查看日志以及对应文件创建时间,锁定恶意文件位置。首先是一个貌似 dedecms 程序的后门,分析其代码发现,这其实是个一句话木马,代码如下:黑客将一句话木马拆分成了几部分,丢入 show.php 中,并将其余代码全部注释掉,让其不容别被发现。利用这段代码,可以执行任意命令。同时,这里还发现黑客在程序中植入了一段很智能的 php 代码,分析发现其主要用来给几个赌博网站刷流量,代码主要部分如图所示 代码伪装的很隐蔽,首先会判断是不是扫描器 IP,如果是扫描器则返回正常页面。如果请求参数是 action=ad,则会直接跳到一个赌博网站 /js/p2.html 如图所示同时还会判断 referer,如果是从搜索引擎里点击过去的,则会跳转到/js/c2.txt 执行这段 javascript 程序这段 js 代码是模拟浏览器,发送了一个 action=ad 请求,最终还是跳转到上面那个赌博网站。然后我们继续分析,下面是一段更加智能的程序。if (isspider() &!isindex()这个 if 会判断是否为爬虫,并且爬取的是否为主页。如果判断为爬虫但是爬去的是主页,则直接退出,这是为了防止搜索引擎快照中出现不和谐的内容而被发现。如果是判断为爬虫并且非主页的话,则访问另一个赌博网站,而且这里程序写的非常复杂,很容易绕过一些检测工具。跳转后的页面如图所示另外,在系统/tmp 目录下,发现大量提权脚本,如图查看 1.pl 代码,这其实是一个反弹的后门还有一个 root2013.pl,这其实一个 downloader 程序,自动下载各种提权程序执行,但是幸好系统不存在这些可利用的漏洞,攻击者未提权成功。此
人人文库> 全部分类> 教育资料 > 辅导培训

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论